Anon

Хакер - Фундаментальные основы хакерства. Ищем операнды при взломе программ

anon_channel — Fri, 27 May 2022 10:15:11 GMT

Крис Касперски, Юрий Язев

Содержание статьи

Идентификация констант и смещений
Определение типа непосредственного операнда
Сложные случаи адресации или математические операции с указателями
Порядок индексов и указателей
Использование LEA для сложения констант
Заключение

Когда мы занимаемся анализом ломаемой программы, пытаясь восстановить алгоритм ее работы, нам нужно определить типы операндов ассемблерных инструкций. Для этого есть несколько простых правил. Между тем среди операндов присутствуют константы и смещения, которые внешне очень похожи, но в то же время сильно различаются по способам и целям взаимодействия. Поэтому важно отделить одно от другого, так как такие «игры» — один из главных инструментов разработчиков защит.

Фундаментальные основы хакерства

Пятнадцать лет назад эпический труд Криса Касперски «Фундаментальные основы хакерства» был настольной книгой каждого начинающего исследователя в области компьютерной безопасности. Однако время идет, и знания, опубликованные Крисом, теряют актуальность. Редакторы «Хакера» попытались обновить этот объемный труд и перенести его из времен Windows 2000 и Visual Studio 6.0 во времена Windows 10 и Visual Studio 2019.

Ссылки на другие статьи из этого цикла ищи на странице автора.

ИДЕНТИФИКАЦИЯ КОНСТАНТ И СМЕЩЕНИЙ

Микропроцессоры серии 80x86 поддерживают операнды трех типов: регистр, непосредственное значение, непосредственный указатель. Тип операнда явно задается в специальном поле машинной инструкции, именуемом mod, поэтому никаких проблем в идентификации типов операндов не возникает. Регистр — ну, все мы знаем, как выглядят регистры; указатель по общепринятому соглашению заключается в квадратные скобки, а непосредственное значение записывается без них. Например:

MOV ECX, EAX; ← регистровые операнды

MOV ECX, 0x666; ← левый операнд регистровый, правый — непосредственный

MOV [0x401020], EAX; ← левый операнд — указатель, правый — регистр

Кроме этого, микропроцессоры серии 80x86 поддерживают два вида адресации памяти: непосредственную и косвенную. Тип адресации определяется типом указателя. Если операнд — непосредственный указатель, то и адресация непосредственна. Если же операнд‑указатель — регистр, то такая адресация называется косвенной. Например:

MOV ECX,[0x401020] ← непосредственная адресация

MOV ECX, [EAX] ← косвенная адресация

Для инициализации регистрового указателя разработчики микропроцессора ввели специальную команду, вычисляющую значение адресного выражения addr и присваивающую его регистру REG, — LEA REG, [addr]. Например:

LEA EAX, [0x401020] ; Регистру EAX присваивается значение указателя 0x401020

MOV ECX, [EAX] ; Косвенная адресация — загрузка в ECX двойного слова,

; расположенного по смещению 0x401020

Правый операнд команды LEA всегда представляет собой ближний (near) указатель (исключение составляют случаи использования LEA для сложения констант — подробнее об этом см. в одноименном пункте). И все было бы хорошо... да вот, оказывается, внутреннее представление ближнего указателя эквивалентно константе того же значения. Отсюда LEA EAX, [0x401020] равносильно MOV EAX, 0x401020. В силу определенных причин MOV значительно обогнал в популярности LEA, практически вытеснив последнюю инструкцию из употребления.

Отказ от LEA породил фундаментальную проблему ассемблирования — проблему OFFSET’a. В общих чертах ее суть заключается в синтаксической неразличимости констант и смещений (ближних указателей). Конструкция MOV EAX, 0x401020 может грузить в EAX и константу, равную 0x401020 (пример соответствующего C-кода: a=0x401020), и указатель на ячейку памяти, расположенную по смещению 0x401020 (пример соответствующего C-кода: a=&x). Согласись, a=0x401020 совсем не одно и то же, что a=&x! А теперь представь, что произойдет, если в повторно ассемблированной программе переменная х окажется расположена по иному смещению, а не 0x401020? Правильно — программа рухнет, ибо указатель a по‑прежнему указывает на ячейку памяти 0x401020, но здесь теперь «проживает» совсем другая переменная!

Почему переменная может изменить свое смещение? Основных причин тому две. Во‑первых, язык ассемблера неоднозначен и допускает двоякую интерпретацию. Например, конструкции ADD EAX, 0x66 соответствуют две машинные инструкции: 83 C0 66 и 05 66 00 00 00 длиной три и пять байт соответственно. Транслятор может выбрать любую из них, и не факт, что ту же самую, которая была в исходной программе (до дизассемблирования). Неверно «угаданный» размер вызовет смещение всех остальных инструкций, а вместе с ними и данных. Во‑вторых, смещение не замедлит вызвать модификацию программы (разумеется, речь идет не о замене JZ на JNZ, а о настоящей адаптации или модернизации), и все указатели тут же «посыплются».

Вернуть работоспособность программы помогает директива offset. Если MOV EAX, 0x401020 действительно загружает в EAX указатель, а не константу, по смещению 0x401020 следует создать метку, именуемую, скажем, loc_401020. Также нужно MOV EAX, 0x401020 заменить на MOV EAX, offset loc_401020. Теперь указатель EAX связан не с фиксированным смещением, а с меткой!

А что произойдет, если предварить директивой offset константу, ошибочно приняв ее за указатель? Программа откажет или станет работать некорректно. Допустим, число 0x401020 выражало собой объем бассейна, в который вода втекает через одну трубу, а вытекает через другую. Если заменить константу указателем, то объем бассейна станет равен... смещению метки в заново ассемблированной программе и все расчеты полетят к черту.

Таким образом, очень важно определить типы всех непосредственных операндов, и еще важнее определить их правильно. Одна ошибка может стоить программе жизни (в смысле работоспособности), а в типичной программе тысячи и десятки тысяч операндов!

Отсюда возникает два вопроса:

Как вообще определяют типы операндов?
Можно ли их определять автоматически (или на худой конец хотя бы полуавтоматически)?

Определение типа непосредственного операнда

Непосредственный операнд команды LEA всегда указатель (исключение составляют ассемблерные «извращения»: чтобы сбить хакеров с толку, в некоторых защитах LEA используются для загрузки константы).

Непосредственные операнды команд MOV и PUSH могут быть как константами, так и указателями. Чтобы определить тип непосредственного операнда, необходимо проанализировать, как используется его значение в программе. Для косвенной адресации памяти — это указатель, в противном случае — константа.

Например, мы встретили в тексте программы команду MOV EAX, 0x401020. Что это такое: константа или указатель?

Ответ на вопрос дает строка MOV ECX, [EAX], подсказывающая, что значение 0x401020 используется для косвенной адресации памяти. Следовательно, непосредственный операнд не что иное, как указатель.

Существует два типа указателей — указатели на данные и указатели на функцию. Указатели на данные используются для извлечения значения ячейки памяти и встречаются в арифметических командах и командах пересылки (например, MOV, ADD, SUB). Указатели на функцию используются в командах косвенного вызова и реже в командах косвенного перехода — CALL и JMP соответственно.

Следующий пример (const_pointers_cb) откомпилируй с помощью C++Builder. В нем мы изучим разницу между константами и указателями:

int _tmain(int argc, _TCHAR* argv[])

{

static int a = 0x777;

int* b = &a;

int c = b[0];

}

Результат компиляции должен выглядеть приблизительно так:

main proc near

var_1C = dword ptr -1Ch

var_18 = qword ptr -18h

var_10 = qword ptr -10h

var_8 = dword ptr -8

var_4 = dword ptr -4

; Открытие кадра стека

push rbp

; Выделение 0x20 байт для локальных переменных

sub rsp, 20h

; Кадр стека указывает на дно стека

lea rbp, [rsp+20h]

Название смещения unk_451110 говорит о том, что значение по адресу 451110 имеет неопределенный тип.

Перейдем по нему и посмотрим, что там находится.

Так как число 0x777 не умещается в одном байте, компилятор разместил его в двух байтах. Следовательно, в RAX помещается ссылка на это число.

lea rax, unk_451110

Хотя IDA представила данные программы так, как их приготовил компилятор, мы уже самостоятельно определили, что по смещению unk_451110 находится число, занимающее больше одного байта. Поэтому мы можем помочь IDA правильно отобразить данные. Для этого, перейдя по смещению, надо нажать клавишу с английской o, что соответствует команде: Edit → Operand Type → Offset → Offset (data segment). В результате смещение будет переименовано, а значение, на которое оно указывает, примет благородный вид: 777h. Кроме того, команда преобразования неопределенных байтов в данные с db (один байт) изменится на dq (восемь байт).

Инициализация локальных переменных:

mov [rbp+var_4], 0

mov [rbp+var_8], ecx

mov [rbp+var_10], rdx

В RAX расположена ссылка на значение, она копируется в переменную var_18. Поскольку значение по ссылке unk_451110 находится в сегменте данных, можно сделать вывод, что var_18 — статическая переменная.

mov [rbp+var_18], rax

Копируем ссылку на переменную в памяти и таким образом получаем возможность изменить ссылку, но не значение.

mov rax, [rbp+var_18]

Загружаем содержимое локальной переменной var_18 в регистр ECX. Отсюда можно сделать вывод, что в RAX все‑таки указатель. Тогда локальная переменная var_18 тоже указатель!

mov ecx, [rax]

Присваиваем локальной переменной var_1C значение, содержащееся в ECX. А там хранится указатель на 0x777.

mov [rbp+var_1C], ecx

mov [rbp+var_4], 0

; Функция возвращает ноль

mov eax, [rbp+var_4]

; Очищаем стек

add rsp, 20h

; Закрываем кадр стека

pop rbp

retn

main endp

Черт ногу сломит с этими указателями! Теперь рассмотрим пример func_pointers_cb с косвенным вызовом функции (также скомпилированный с помощью C++Builder):

int func(int a, int b)

{

return a + b;

}

int _tmain(int argc, _TCHAR* argv[])

{

int (*zzz) (int a, int b) = func;

// Вызов функции происходит косвенно — по указателю zzz

zzz(0x666, 0x777);

return 0;

}

Результат компиляции должен выглядеть приблизительно так:

main proc near

var_1C = dword ptr -1Ch

var_18 = qword ptr -18h

var_10 = qword ptr -10h

var_8 = dword ptr -8

var_4 = dword ptr -4

; Открываем кадр стека

push rbp

; Выделяем 0x40 под локальные переменные

sub rsp, 40h

; Указатель кадра стека

lea rbp, [rsp+40h]

; В EAX заносим значение 0x666, пока непонятно для чего, но явно не для передачи

mov eax, 666h

; В R8D заносим значение 0x777

mov r8d, 777h

; Смотри! В R9 заносим указатель на функцию

lea r9, func(int,int)

; Инициализируем локальные переменные

mov [rbp+var_4], 0

mov [rbp+var_8], ecx

mov [rbp+var_10], rdx

; В var_18 помещаем указатель на функцию func

mov [rbp+var_18], r9

; Теперь ECX равна 0x666

mov ecx, eax

; а EDX — 0x777, регистры загружены и готовы для передачи параметров

mov edx, r8d

; Погляди-ка! Косвенный вызов функции!

call [rbp+var_18]

mov [rbp+var_4], 0

mov [rbp+var_1C], eax

mov eax, [rbp+var_4]

; Очищаем стек

add rsp, 40h

; Восстанавливаем регистр

pop rbp

retn

main endp

А вот и косвенно вызываемая функция func. Исследуем ее, чтобы определить тип передаваемых ей непосредственных значений.

func(int, int) proc near

var_C = dword ptr -0Ch

var_8 = dword ptr -8

var_4 = dword ptr -4

IDA не определила аргументы, но мы‑то знаем, что они есть! Сейчас, когда параметры всегда передаются через регистры, различие между аргументами и локальными переменными — чистая формальность.

; Открываем кадр стека

push rbp

; Выделяем память для содержимого стека

sub rsp, 10h

; Кадр стека указывает на дно стека

lea rbp, [rsp+10h]

Присваиваем значение переменной var_4, учитывая, что в регистре ECX передается параметр, var_4 — аргумент:

mov [rbp+var_4], ecx

Присваиваем значение переменной var_8, учитывая, что в регистре EDX передается параметр, var_8 — аргумент:

mov [rbp+var_8], edx

; В ECX размещаем первое слагаемое

mov ecx, [rbp+var_4]

; Выполняем сложение с переменной, записывая сумму на место первого слагаемого

add ecx, [rbp+var_8]

; Значение суммы копируем в переменную var_C

mov [rbp+var_C], ecx

; В качестве результата возвращаем сумму

mov eax, [rbp+var_C]

; Удаляем содержимое стека

add rsp, 10h

; Закрываем кадр стека

pop rbp

retn

func(int, int) endp

Сложные случаи адресации или математические операции с указателями

C/C++ и некоторые другие языки программирования допускают выполнение над указателями различных арифметических операций, чем серьезно затрудняют идентификацию типов непосредственных операндов. В самом деле, если бы такие операции с указателями были запрещены, то любая математическая инструкция, манипулирующая с непосредственным операндом, однозначно указывала бы на его константный тип.

К счастью, даже в тех языках, где это разрешено, над указателями выполняется ограниченное число математических операций. Так, совершенно бессмысленно сложение двух указателей, а уж тем более умножение или деление их друг на друга. Вычитание — дело другое. Используя тот факт, что компилятор располагает функции в памяти согласно порядку их объявления в программе, можно вычислить размер функции, отнимая ее указатель от указателя на следующую функцию. Такой трюк встречается в упаковщиках (распаковщиках) исполняемых файлов, защитах с самомодифицирующимся кодом, но в прикладных программах используется редко.

Сказанное выше относилось к случаям «указатель + указатель». Между тем указатель может сочетаться и с константой. Причем такое сочетание настолько популярно, что процессоры серии 80x86 даже поддерживают для этого специальную адресацию — базовую. Пусть, к примеру, имеется указатель на массив и индекс некоторого элемента массива. Очевидно: чтобы получить значение этого элемента, необходимо сложить указатель с индексом, умноженным на размер элемента.

Вычитание константы из указателя встречается гораздо реже: этому соответствует меньший круг задач, и сами программисты избегают вычитания, поскольку оно нередко приводит к серьезным проблемам. Среди новичков популярен следующий прием: если им требуется массив, начинающийся с единицы, они, объявив обычный массив, получают на него указатель и... уменьшают его на единицу! Элегантно, не правда ли?

Но подумай, что произойдет, если указатель на массив будет равен нулю. Правильно, змея укусит свой хвост — указатель станет очень большим положительным числом. Вообще‑то под Windows NT массив гарантированно не может быть размещен по нулевому смещению, но не стоит привыкать к трюкам, привязанным к одной платформе и не работающим на других.

«Нормальные» языки программирования запрещают смешение типов, и правильно делают. Существует и еще одна фундаментальная проблема дизассемблирования — определение типов в комбинированных выражениях. Рассмотрим следующий пример:

MOV EAX, 0x...

MOV EBX, 0x...

ADD EAX, EBX

MOV ECX, [EAX]

Сумма двух непосредственных значений здесь используется для косвенной адресации. Ну, положим, оба они указателями быть не могут, исходя из самых общих соображений. Наверняка одно из непосредственных значений — указатель на массив (структуру данных, объект), а другое — индекс в этом массиве. Для сохранения работоспособности программы указатель необходимо заменить смещением метки, а вот индекс придется оставить без изменений (ведь индекс — это константа).

Как же различить, что есть что? Увы, нет универсального ответа, а в контексте приведенного выше примера это и вовсе невозможно!

Рассмотрим следующий пример, демонстрирующий определение типов в комбинированных выражениях (combined_exp_types):

void MyFunc(char* a, int i)

{

a[i] = '\n';

a[i + 1] = 0;

}

int main()

{

static char buff[] = "Hello,Sailor!";

MyFunc(&buff[0], 5);

}

Результат компиляции с помощью Microsoft Visual C++ должен выглядеть так:

main proc near

; Выделение памяти для локальных переменных

sub rsp, 28h

; Определяем смещение — указатель на элемент в массиве

mov eax, 1

imul rax, 0

; В регистр RCX загружаем указатель на строку

lea rcx, buff ; "Hello, Sailor!"

add rcx, rax

; Указатель на строку копируется в RAX

mov rax, rcx

; Подготовка параметров:

; в регистр EDX помещается число 5 — второй параметр

mov edx, 5 ; i

; указатель на строку вновь копируется в RCX — первый параметр

mov rcx, rax ; a

; Параметры укомплектованы — вызываем функцию

call MyFunc(char *,int)

; Функция возвращает ноль

xor eax, eax

; Очистка стека

add rsp, 28h

retn

main endp

Мы можем с полной уверенностью сказать, где какой параметр, только в наших искусственных примерах. При изучении чужих программок такой уверенности, к сожалению, не будет. Поэтому, рассматривая параметры в функции ниже, мы, по идее, должны видеть их как два числовых аргумента. И наша задача разобраться, представляют ли они константы или указатели.

void MyFunc(char *, int) proc near

; Два параметра — все верно

arg_0 = qword ptr 8

arg_8 = dword ptr 10h

; Перенос значений параметров из регистров в память

mov [rsp+arg_8], edx ; Число 5

mov [rsp+arg_0], rcx ; Указатель на строку

; Копирование двойного слова со знаком в четверное

movsxd rax, [rsp+arg_8]

; Копирование четверного слова в четверное

mov rcx, [rsp+arg_0]

Сумма непосредственных значений используется для косвенной адресации памяти, значит, это константа и указатель. Но кто есть кто?

mov byte ptr [rcx+rax], 0Ah

Для ответа на этот вопрос нам необходимо понять смысл кода программы — чего же добивался программист сложением указателей? Предположим, что значение 5 — указатель. Логично? Да вот не очень‑то логично: если это указатель, то указатель на что?

Первые 64 килобайта адресного пространства Windows NT заблокированы для «отлавливания» нулевых и неинициализированных указателей. Ясно, что равным пяти указатель быть никак не может, разве что программист использовал какой‑нибудь очень извращенный трюк. А если указатель 0x140003038 (фактический адрес buff)? Выглядит правдоподобным легальным смещением...

Кстати, что там у нас расположено? Секундочку...

.data:0000000140003038 buff db 'Hello, Sailor!',0

Теперь все сходится — функции передан указатель на строку "Hello, Sailor!" (значение 0x140003038) и индекс символа этой строки (значение 5). Функция сложила указатель со строкой и записала в полученную ячейку символ "\n".

Следующая инструкция заносит значение аргумента arg_8 в регистр EAX. Как мы установили, это константа:

mov eax, [rsp+arg_8]

; Инкрементируем значение в EAX на 1

inc eax

; Преобразуем двойное слово (значение в EAX) в четверное слово (значение в RAX)

cdqe

; Помещаем в RCX значение аргумента arg_0

; Как мы выяснили, оно представляет собой указатель на строку

mov rcx, [rsp+arg_0]

Сумма RCX и RAX используется для косвенной адресации памяти, точнее косвенно‑базовой, так как к указателю прибавляется еще и единица. В эту ячейку памяти заносится ноль. Другими словами, мы прописываем ноль за символом "\n".

mov byte ptr [rcx+rax], 0

retn

void MyFunc(char *, int) endp

Наши предположения подтвердились — функции передаются указатель на строку и индекс первого «отсекаемого» символа строки. А теперь скомпилируем тот же самый пример компилятором Embarcadero C++Builder и сравним, чем он отличается от Microsoft Visual C++:

; int __cdecl main(int argc, const char **argv, const char **envp)

public main

main proc near ; DATA XREF: __acrtused+29↑o

var_10 = qword ptr -10h

var_8 = dword ptr -8

var_4 = dword ptr -4

; Открытие кадра стека

push rbp

; Выделение 0х30 байт памяти для локальных переменных

sub rsp, 30h

; Копирование в RBP указателя на дно стека, ибо после вычитания получилась вершина,

; а после сложения — дно

lea rbp, [rsp+30h]

; В RAX — указатель на строку

lea rax, aHelloSailor ; "Hello, Sailor!"

; В R8D — значение 5

mov r8d, 5

; Инициализация локальных переменных...

mov [rbp+var_4], 0

; ...перебрасываем содержимое регистров в память

mov [rbp+var_8], ecx

mov [rbp+var_10], rdx

; Готовим параметры для передачи:

; в RCX копируем указатель на строку...

mov rcx, rax

; ...в EDX — значение 5

mov edx, r8d

; Вызов функции вместе с передачей параметров

call MyFunc(char *,int)

mov [rbp+var_4], 0

; Обнуляем EAX для возвращения нуля

mov eax, [rbp+var_4]

; Очищаем стек

add rsp, 30h

; Закрываем кадр стека

pop rbp

retn

main endp

; __int64 __fastcall MyFunc(char *, int)

public MyFunc(char *, int)

MyFunc(char *, int) proc near ; CODE XREF: main+2B↓p

var_C = dword ptr -0Ch

var_8 = qword ptr -8

; Открытие кадра стека

push rbp

; Выделение памяти

sub rsp, 10h

; Указатель кадра стека

lea rbp, [rsp+10h]

; Принятые параметры размещаем в локальных переменных

mov [rbp+var_8], rcx

mov [rbp+var_C], edx

; Первый параметр возвращаем в RCX

mov rcx, [rbp+var_8]

; Копирование двойного слова со знаком в четверное

movsxd rax, [rbp+var_C]

Сумма непосредственных значений используется для косвенной адресации памяти. Этот прием мы уже проходили, разбирая дизассемблерный листинг от Visual C++. Однако вопрос все тот же: как понять, где константа, а где указатель? Как и в предыдущем случае, необходимо проанализировать их значения.

mov byte ptr [rcx+rax], 0Ah

; Копирование значений из локальных переменных в регистры

mov rax, [rbp+var_8]

mov edx, [rbp+var_C]

; Увеличение var_C на 1, а Visual C++ в этом месте использовал инструкцию inc

add edx, 1

; Копирование двойного слова со знаком в четверное

movsxd rcx, edx

; Снова косвенная адресация памяти, чтобы поставить после символа новой строки "\n" 0

mov byte ptr [rax+rcx], 0

; Восстановление стека

add rsp, 10h

; Закрытие кадра стека

pop rbp

retn

MyFunc(char *, int) endp

По сравнению с листингом от Visual C++ листинг от C++Builder имеет минимальные различия. Раньше было не так... Даже не знаю, радоваться этому или огорчаться.

Порядок индексов и указателей

Открою маленький секрет: при сложении указателя с константой большинство компиляторов на первое место помещают указатель, а на второе — константу, каким бы ни было их расположение в исходной программе. Иначе говоря, выражения a[i], (a+i)[0], *(a+i) и *(i+a) компилируются в один и тот же код! Даже если извратиться и написать так: (0)[i+a], компилятор все равно выдвинет a на первое место. Что это — ослиное упрямство, игра случая или фича? Ответ до смешного прост — сложение указателя с константой дает указатель! Поэтому результат вычислений всегда записывается в переменную типа «указатель».

Вернемся к последнему рассмотренному примеру (combined_exp_types_cb), применив для анализа наше новое правило:

; Копирование значений из локальных переменных в регистры

mov rax, [rbp+var_8] ; В RAX теперь указатель на строку

mov edx, [rbp+var_C]

; Увеличение var_C на 1, а там (следовательно, теперь в регистре) значение 5

add edx, 1

; Копирование двойного слова со знаком в четверное

movsxd rcx, edx ; теперь значение 6 в RCX

Сложение RAX и RCX. Операция сложения указывает на то, что по крайней мере один из них константа, а другой — либо константа, либо указатель.

mov byte ptr [rax+rcx], 0

Ага! Сумма непосредственных значений используется для косвенной адресации памяти, значит, это константа и указатель. Но кто из них кто? С большой степенью вероятности RAX — указатель (так оно и есть), поскольку он стоит на первом месте, а RCX — индекс, так как он стоит на втором!

Использование LEA для сложения констант

Инструкция LEA широко используется компиляторами не только для инициализации указателей, но и для сложения констант. Поскольку внутренне представление констант и указателей идентично, результат сложения двух указателей идентичен сумме тождественных им констант. То есть LEA EBX, [EBX+0x666] == ADD EBX, 0x666, однако по своим функциональным возможностям LEA значительно обгоняет ADD. Вот, например, LEA ESI, [EAX*4+EBP-0x20], попробуй то же самое «скормить» инструкции ADD!

Встретив в тексте программы команду LEA, не торопись навешивать на возвращенное ею значение ярлык «указатель»: с не меньшим успехом он может оказаться и константой! Если «подозреваемый» ни разу не используется в выражении косвенной адресации — никакой это не указатель, а самая настоящая константа!

«Визуальная» идентификация констант и указателей

Вот несколько приемов, помогающих отличить указатели от констант.

В 64-разрядных Windows-программах указатели могут принимать ограниченный диапазон значений. Доступный процессорам регион адресного пространства начинается со смещения
0x00000000 00010000 и простирается до смещения 0x000003FF FFFFFFFF. Поэтому все непосредственные значения, меньшие 0x00000000 00010000 и большие 0x000003FF FFFFFFFF, представляют собой константы, а не указатели. Исключение составляет число ноль, обозначающее нулевой указатель. Некоторые защитные механизмы непосредственно обращаются к коду операционной системы, расположенному выше адреса 0x000003FF FFFFFFFF, где начинаются владения ядра.
Если непосредственное значение смахивает на указатель, посмотри, на что он указывает. Если по данному смещению находится пролог функции или осмысленная текстовая строка, скорее всего, мы имеем дело с указателем, хотя, может быть, это всего лишь совпадение.
Загляни в таблицу перемещаемых элементов. Если адрес «подследственного» непосредственного значения есть в таблице, это, несомненно, указатель. Беда в том, что большинство исполняемых файлов неперемещаемы и такой прием актуален лишь для исследования DLL (а DLL перемещаемы по определению).

К слову сказать, дизассемблер IDA Pro использует все три описанных способа для автоматического опознавания указателей.

ЗАКЛЮЧЕНИЕ

Как мы увидели выше, правильное определение констант и смещений зависит от многих фундаментальных факторов: от операционной системы, ее разрядности, даже от языка ассемблера, в котором отражается процессорная архитектура! Эти понятия составляют основу любой программы. А рассмотренные в статье примеры показали важность их правильной идентификации.

https://t.me/anon_chan_by

Linux за 30 минут. Руководство по выбору и использованию Linux для новичков

anon_channel — Sun, 21 Nov 2021 11:39:43 GMT

t.me/anon_chan_by

Содержание статьи

Какой бывает Linux
Ядро
Пакетный менеджер
Графическая система
Командный интерпретатор
Домашний каталог и скрытые файлы
Ввод-вывод и пайпы
Файловые системы
Система каталогов
Пользователи, права на файлы
Ссылки
Установка софта
Init и systemd
Прочие приложения
Итоги

Совершенно не важно, какую операционку ты предпочитаешь иметь на рабочем компьютере, — Linux сегодня буквально повсюду: на серверах, на железках вроде Raspberry Pi, на умных устройствах, на компьютерах в госучреждениях... Да что там, даже в Windows теперь можно запускать Linux, чтобы легче было, к примеру, тестировать серверный софт. Хакеру же ориентироваться в Linux просто необходимо.

Огромное количество хакерского софта работает только на Linux и собрано в специализированных дистрибутивах вроде Kali. К тому же при пентесте ты часто будешь сталкиваться с системами на Linux и должен уметь с ними обращаться. Да и просто полезно иметь опыт работы с этой мощной, абсолютно бесплатной системой. В жизни пригодится, поверь!

В этой статье мы попытаемся рассказать все, что сами хотели бы знать, когда начинали интересоваться «Линуксом» много лет назад. Это и теоретические сведения, которые помогут ориентироваться, и вполне практичные советы.

Важное предупреждение

По уровню сложности это не вполне характерная для «Хакера» статья — она рассчитана на совсем‑совсем новых пользователей. Мысль о ней появилась, когда мы стали компоновать подборку материалов об использовании Linux и обнаружили, что у нас нет ничего, что подошло бы в качестве самого начала. А если и есть, то покрыто толстыми мхами.

Если ты против таких статей в «Хакере», можешь, конечно, отметиться в комментариях, но, право слово, лучше иди почитай про эксплуатацию ядра или про то, как писать минималистичный бэк‑шелл на ассемблере. Благо таких статей у нас большинство и менять в этом плане мы ничего не собираемся.

Если же тема кажется тебе в самый раз, то пристегивайся — наш звездолет отправляется, чтобы пронестись по основам Linux со сверхсветовой скоростью.

КАКОЙ БЫВАЕТ LINUX

Первое, с чем сталкивается человек, желающий установить Linux, — это огромное разнообразие дистрибутивов. Все эти названия просто невозможно упомнить, но в реальности и не нужно.

Три основных семейства дистрибутивов, о которых нужно знать в первую очередь, — это Debian, Red Hat и Arch. Еще можно вспомнить SUSE, Mandriva и Gentoo, но деньки их славы уже позади, да простят нас их пользователи!

INFO

Chrome OS — это тоже внутри вполне настоящий Linux, и в новых версиях поддерживается запуск программ для Linux. Но в один ряд с другими дистрибутивами эту ОС все же не поставишь.

Из семейства Debian в первую очередь стоит обратить внимание на Ubuntu. Это и есть самый очевидный выбор, если ты раздумываешь, с чего начать. Компания Canonical, стоящая за Ubuntu, прикладывает огромные силы для того, чтобы этот дистрибутив хорошо работал и был дружелюбен к пользователю. Для этого дистрибутива имеется широчайший выбор стабильно работающих программ — ты точно не будешь испытывать в них недостатка.

К тому же у Ubuntu огромное сообщество, что значительно упрощает решение проблем: в 99% случаев ты будешь не первый, кто испытывает ту или иную сложность. Просто копируй сообщение об ошибке, и наверняка найдешь ветку форума, где более опытные товарищи объясняют другим пострадавшим, как с этим справиться.

Есть и другие популярные дистрибутивы, основанные на Debian, — к примеру, Raspberry Pi OS, MX Linux или Kali Linux. А на Ubuntu базируются Linux Mint, elementary OS и многие другие. Кстати, Mint и elementary тоже неплохие варианты для новичков.

Ставить Kali в качестве первой системы обычно не рекомендуют: этот узкоспециализированный хакерский дистрибутив плохо приспособлен для повседневной работы, и устанавливать его предполагается в виртуалку или в качестве второй ОС. К тому же он под завязку забит хактулзами вместо обычных приложений, что будет сбивать с толку. Но если ты ставишь Linux специально, чтобы заполучить все это богатство, то кто мы такие, чтобы тебя останавливать?

Что до самого Debian, то его главная фишка — это лицензионная чистота. Разработчики внимательно следят за тем, чтобы в него не попало ни строчки кода, который распространяется не по свободной лицензии. Что может быть и похвально с точки зрения идеологии, но, когда ты хочешь освоиться с Linux, скорее всего, обернется разного рода сложностями.

К семейству дистрибутивов Red Hat относятся в первую очередь Fedora, Red Hat Enterprise Linux (RHEL) и Rocky Linux. На обычный ПК есть смысл ставить «Федору», тогда как RHEL — это коммерческое решение для серверов, а Rocky Linux — его некоммерческий клон, созданный сообществом.

И наконец, Arch — это крайне интересный «гиковский» дистрибутив, который ты можешь сам собрать по кирпичикам и настроить как тебе захочется. Однако нырять в это без предварительных познаний в Linux не советуем. Решая проблемы, ты, конечно, приобретешь много ценных знаний, но это далеко не самый простой путь, и лучше отложить хождение по нему на потом.

У Arch есть и менее суровые вариации — Manjaro и EndeavourOS. В обеих хотя бы присутствуют заранее настроенные и подготовленные к работе окружения, но тоже аскетичные. С другой стороны, отсутствие необузданного разнообразия может быть плюсом при первом знакомстве, так что начинать с Manjaro — не такая плохая идея. Особенно если ты планируешь ставить Linux на слабый компьютер.

Not Unix

В чем отличие Linux от Unix? Если очень‑очень упростить, то можно сказать, что Unix — это предок Linux. Более сложный и развернутый ответ требует немного углубиться в историю.

В семидесятые годы Ричард Столлман придумал клонировать коммерческий и по тем временам дорогостоящий Unix и создать свою операционку, которую он назвал GNU is not Unix или просто GNU. Столлман и компания переписали все компоненты Unix и опубликовали их под придуманной ими «вирусной» лицензией GPL.

Изначально словом Linux называли только созданное Линусом Торвальдсом ядро. Но название Linux и маскот‑пингвин быстро прижились, и ими теперь обозначают всю ОС — несмотря на возражения Столлмана и просьбы писать только GNU/Linux.

Linux в эпоху интернета стал быстро набирать популярность, и коммерческим вариантам Unix со временем просто не осталось места. Тем не менее до сих пор живы его потомки — операционные системы FreeBSD и OpenBSD, которые теперь бесплатны и многое заимствуют из современного «Линукса». Кстати, на FreeBSD основаны macOS и iOS.

Получается, что выбор дистрибутива — это в первую очередь выбор подхода и даже идеологии. Однако более приземленным ориентиром обычно служит набор основных компонентов, из которых строятся дистры. Давай обсудим главные из них.

ЯДРО

Ядро, хоть и критически важно для работы системы, особо не интересно с точки зрения пользователя — взаимодействовать с ним напрямую тебе вряд ли придется, пока ты не станешь настоящим гуру.

Возможно, ты часто слышал про «сборку ядра» и можешь даже самостоятельно попробовать сделать это. Поскольку ядро Linux монолитное, в него должна входить поддержка множества вещей, которые касаются всех аспектов работы компьютера. Соответственно, перед сборкой можно и нужно задать кучу всяких настроек, но ничего особенно увлекательного в этом, поверь, нет, хотя процесс крайне познавательный.

В системе может одновременно присутствовать сколько угодно ядер, а какое именно будет использоваться, ты можешь выбрать в загрузчике. Апгрейд ядра до более новой версии — совершенно рутинное дело в Linux и обычно происходит автоматически.

ПАКЕТНЫЙ МЕНЕДЖЕР

Любой Linux состоит из тысяч мелких компонентов — программ, библиотек и ресурсов (например, файлов конфигурации, наборов иконок и так далее). Распространяются они в виде пакетов (package).

Пакетный менеджер — это специальная программа, которая выполняет установку, настройку, удаление, а также обновление как отдельных приложений, так и всей системы в целом или ее компонентов.

Очень часто один пакет требует для работы наличия других, и следить за этими зависимостями вручную на современной системе невозможно. Поэтому основа каждого дистрибутива — это пакетный менеджер, который рулит установкой и обновлением софта. В дистрибутивах, основанных на Debian, он называется APT, в Red Hat — DNF, а в Arch — pacman.

Пакеты менеджер берет из репозитория — большого склада, куда создатели дистрибутива загружают их. Репозиториев зачастую можно подключить сразу несколько. Например, в Ubuntu есть четыре основных: Main (поддерживаемый разработчиками), Universe (поддерживаемый сообществом), Restricted (с проприетарным ПО) и Multiverse (с ПО, на которые действуют несвободные лицензии).

Поскольку вскоре после установки Linux ты обнаружишь необходимость в драйверах для железа, дополнительных шрифтах, кодеках и тому подобных вещах, скорее всего, понадобится разрешить системе доступ к запятнанным коммерцией репозиториям. В Ubuntu это делается в меню «Программы и обновления».

ГРАФИЧЕСКАЯ СИСТЕМА

Далеко не каждый Linux снабжен графической системой или вообще нуждается в ней — очень многие действия здесь можно делать и из командной строки. Однако современный рабочий стол — это все же иконки и окошки.

Чтобы работать с графикой, в Linux должны присутствовать сервер дисплея X.Org (традиционный вариант) либо новомодный композитор Wayland, на который сейчас переходят наиболее передовые дистрибутивы. Плюс требуется оконный менеджер — программа, которая отвечает за то, как выглядят и работают элементы интерфейса.

Впрочем, это всё довольно низкоуровневые подробности, нырять в которые с ходу не обязательно. Куда скорее тебе придется задуматься о выборе рабочей среды (Desktop Environment, DE). Это совокупность оконного менеджера и разного рода программ, мелких (например, рисующих разные панели, рабочий стол, виджеты) и крупных — вроде файлового менеджера. Сюда же обычно входит и набор базового софта: календарь, почтовик и прочее в таком духе.

Самые известные оконные среды — это GNOME и KDE. Но в реальности их список гораздо длиннее. Любители минимализма могут присмотреться к Xfce или LXDE, а Ratpoison, dwm, i3 и xmonad предоставляют среду с неперекрывающимися окнами, что некоторые находят удобным.

А еще от GNOME отвалились проекты MATE и Cinnamon — их разработчикам не понравился интерфейс GNOME 3, и они продолжили развивать вторую ветку. А в elementary OS используется своя среда под названием Pantheon, которую не встретишь больше нигде. В общем, разнообразие огромно!

Создатели дистрибутивов, в которые входит графическая среда, обычно выбирают одну или несколько сред, которые будут поддерживать официально. Но при этом тебе ничто не мешает поменять DE или установить одновременно больше одной, чтобы переключаться между ними или использовать программы одной среды из другой. Пробуй, экспериментируй, и сам поймешь, что тебе ближе.

КОМАНДНЫЙ ИНТЕРПРЕТАТОР

Пользователи Windows привыкли к тому, что в этой операционной системе имеется стандартный интерпретатор команд cmd.exe, который принято называть командной строкой. В последних версиях винды его органично дополнил PowerShell, однако этими двумя средами ассортимент командных интерпретаторов в Windows исчерпывается.

В Linux командных интерпретаторов существует множество, и, если для Windows они лишь вспомогательное средство администрирования, здесь это один из основных и очень мощных инструментов работы с системой.

Собственно, сама история Linux началась именно с командной строки, точнее терминала или даже телетайпа. Графический интерфейс к нему приделали уже значительно позже. Именно поэтому командную строку в Linux часто называют «эмулятор терминала», а процессы с ними носят префикс tty (teletype).

Как ты знаешь, с использованием команд в Windows можно писать скрипты, автоматизирующие какие‑либо действия: пакетные файлы (batch files) были в ходу еще со времен MS-DOS, а PowerShell заметно расширил и углубил эту технологию. В Linux можно делать то же самое: собранный в файл набор команд интерпретатора может работать как сложная программа, а сами команды являются по большому счету языком программирования.

Наборы команд, сохраненные одним файлом, принято называть сценариями или скриптами. Все скрипты в Linux начинаются с символов #! (это сочетание называется «шебанг») и пути к интерпретатору — команде, которая будет исполнять скрипт.

Стандартным командным интерпретатором в Linux является bash — обновленная и модернизированная версия командной оболочки Bourne shell, которая была изобретена Стивеном Борном в 1978 году и использовалась еще в классическом Unix.

Прожженные линуксоиды предпочитают ставить вместо bash более продвинутый интерпретатор — Z shell (ZSH), обратно совместимый с bash, но имеющий по сравнению с ним множество улучшений. Для этой оболочки сообществом был разработан специальный открытый и бесплатный фреймворк Oh My ZSH, который содержит множество плагинов для автоматизации работы с командами и скриптами. Как минимум Oh My ZSH позволяет использовать красивые темы оформления окна командной строки, благодаря которым окружающие точно сочтут тебя гениальным хакером.

INFO

Подробнее о ZSH и Oh My ZSH читай в статье «Прокачай терминал! Полезные трюки, которые сделают тебя гуру консоли».

Предупредим о проблеме, с которой моментально сталкивается каждый новый пользователь Linux. Если ты зайдешь в какой‑то каталог и попытаешься написать название исполняемого файла, чтобы запустить его, то ничего не получится. Почему?

Причина в том, что интерпретатор ищет файлы только в каталогах, которые указаны в переменной окружения $PATH. То есть тебе нужно либо задать полный путь к исполняемому файлу, либо явно указать на текущий каталог. Как ты знаешь, родительский каталог отмечается двумя точками (../), а чтобы указать на текущий, нужно писать ./. То есть вместо program пиши ./program, и все получится!

И еще один очень важный момент. В Windows тип файла определяется его расширением — в зависимости от него командный интерпретатор и оболочка определяют, как они будут обрабатывать файл. В Linux все устроено немного по‑другому: у bash полностью отсутствует какое‑либо уважение к расширениям файлов. Исполняемый файл отличается от обычного не расширением, а наличием права на его исполнение: если оно есть, система считает такой файл программой (или скриптом) и пытается выполнить. О правах на файлы мы подробнее поговорим чуть дальше в соответствующем разделе.

ДОМАШНИЙ КАТАЛОГ И СКРЫТЫЕ ФАЙЛЫ

Поскольку Linux изначально задумывался как многопользовательская операционная система, все пути к «домашним» папкам, переменные окружения, программы, которые запускаются при открытии терминала, и другие настройки задаются в профиле пользователя. У разных юзеров они, соответственно, разные. Благодаря этому ты можешь, например, настроить системное окружение так, как комфортно именно тебе.

Чтобы указывать на домашний каталог, очень удобно использовать символ ~. Так, вместо /home/vasya/ можно писать просто ~/, если ты залогинен как vasya.

В Linux часто встречается то, что в Windows попросту невозможно: файлы, имя которых начинается с точки (пользователи винды с непривычки думают, будто это файлы без имени, имеющие одно только расширение). На самом деле в Linux так обозначают скрытые файлы. Например, имя .htacess говорит нам о том, что этот файл скрытый, — благодаря наличию точки перед именем его легко отличить от других файловых объектов.

В домашнем каталоге пользователя хранится несколько скрытых файлов, которые могут быть очень полезны при работе в Linux. Чтобы просмотреть скрытые файлы в текущем каталоге, используй консольную команду ls -a или поковыряйся в меню файлового менеджера: например, в Nautilus пункт «Показать скрытые файлы» прячется в меню «Вид». Обрати внимание на следующие скрытые файлы:

.bash_profile — содержит информацию о пользовательском окружении и запускаемых при авторизации пользователя программах. В некоторых дистрибутивах, основанных на Debian, данного файла по умолчанию не существует, но ты можешь создать его самостоятельно;
.bash_login — этот файл исполняется, если отсутствует .bash_profile, и выполняет схожую функцию. Этого файла не существует по умолчанию ни в дистрибутиве Debian, ни в дистрибутиве Red Hat;
.profile — выполняется при отсутствии .bash_profile и .bash_login;
.bash_logout — сценарий, который выполняется автоматически при завершении работы командной оболочки;
.bash_history — хранит информацию обо всех командах, набранных в bash;
.ssh — каталог, в котором хранятся ключи шифрования для подключения по SSH;
.bashrc — сценарий, который обычно настраивается другими сценариями для своих собственных нужд — например, запуска демонов или обработки каких‑либо команд.

Необходимый минимум команд

Итак, запоминай самые важные команды, если еще не знаешь их:

man — чуть ли не самая важная команда — она отображает справку о команде, название которой ты напишешь следом;
ls (от слова list, список) — перечислить все файлы в текущей директории, аналог виндовой команды dir. Самые важные ключи: -a (all) — показывать скрытые файлы, -l (long) — показывать подробности, -h (human) — показывать размеры в «человеческих» единицах, а не в байтах. Можно писать все ключи сразу: ls -lha;
cd (change directory) — сменить директорию. Дальше можно указать папку, в которую ты хочешь перейти;
pwd (print working directory) — узнать текущий путь;
cp (copy) — скопировать файл. Дальше нужно указать, что и куда копировать;
mv (move) — переместить файл. Тоже указываем какой, затем — куда;
rm (remove) — стереть файл. Если стираешь каталог, указывай опцию -r (recursive), чтобы стереть все подкаталоги внутри, подкаталоги внутри них и так далее;
chmod и chown — поменять права на файл или владельца файла;
cat (concatenate) — придумана, чтобы объединять файлы, но часто используется, чтобы всего лишь вывести содержимое текстового файла. Просто напиши его название после cat;
less — если файл длинный, то его удобно прокручивать. Для этого и придумана команда less;
head и tail — с опцией -n число показывают сколько‑то строк от начала (head) или конца (tail) указанного файла;
grep — поиск в строке по подстроке или регулярному выражению;
find — поиск файлов;
mkdir (make directory) — создание директории;
touch — создание пустого файла. Просто укажи его название;
sudo — выполнить следующую далее команду от имени суперпользователя;
df (disk free) — посмотреть, сколько на дисках свободного места. Рекомендую писать df -h по аналогии с ls -h;
du (disk usage) — узнать, сколько занимает каталог. Тоже есть опция -h;
ps (processes) — посмотреть список запущенных тобой процессов и их идентификаторы;
kill и идентификатор — завершить какой‑то процесс.

Несколько важных сетевых команд:

ping — попинговать узел;
nslookup — узнать информацию об узле;
traceroute — проследить путь пакетов до узла;
netstat — информация об открытых портах и соединениях;
whois — информация о регистрации домена.

Помимо этого, в Linux обычно есть несколько утилит, которые сильно облегчат тебе жизнь. Если их нет, то стоит их установить:

git — популярнейшая система контроля версий, как и ядро Linux, созданная Линусом Торвальдсом;
nano — простейший текстовый редактор, работающий в терминале;
unzip и unrar — думаю, ты догадываешься, зачем они нужны;
curl нужен для веб‑запросов;
wget — для скачивания больших файлов;
htop показывает уровень загрузки системы и список процессов.

Важно: выйти из программ, которые не закрываются сами, обычно можно, нажав Q. Прервать работу — Ctrl-C. А чтобы выйти из vim, если ты его открыл случайно, набери последовательность :q! и нажми Enter.

ВВОД-ВЫВОД И ПАЙПЫ

Большинство программ, работающих из командной строки, принимают данные на вход и что‑то выдают на выходе. При этом вывод одной программы можно направить на ввод другой и таким образом достичь какой‑то более сложной цели или автоматизировать какой‑то процесс. Давай разберемся подробнее.

Стандартный поток ввода, к которому по умолчанию «привязана» клавиатура, называется standard input (stdin). Стандартный поток вывода носит название standard output (stdout). Существует и отдельный поток вывода, предназначенный исключительно для сообщений об ошибках. Он называется standard error, или stderr. По умолчанию с этими двумя потоками вывода связан монитор.

Потоки приложений и команд можно перенаправлять в файлы или в другие команды. Поскольку стандартные потоки ввода/вывода предназначены в основном для обмена текстовой информацией, такое перенаправление позволяет наладить «общение» программ между собой.

Самый простой пример подобного общения — это когда мы передаем стандартный вывод (stdout) одной программы на стандартный ввод (stdin) другой. Такой вариант перенаправления обозначается в Linux символом | и называется термином «конвейер» или «пайп» (pipe). Например, если мы используем запись вида команда 1 |команда 2, это будет означать, что весь стандартный вывод команды 1, который по умолчанию был бы направлен на дисплей (stdout), будет передан на стандартный ввод (stdin) команды 2. Это и есть реализация простейшего пайпа или конвейера.

Возможно, ты уже натыкался на использование пайпов в сочетании с командой grep, предназначенной для фильтрации текстовых данных. Работает она так:

$ команда | grep [опции] шаблон

где команда — это команда, стандартный вывод которой перенаправляется команде grep;

опции — это различные параметры поиска;

шаблон — строка или значение, которые мы ищем.

Например, команда ls | grep string означает, что мы, получив список содержимого текущей директории c помощью консольной команды ls, ищем в нем файл или папку, в имени которых содержится строка string.

Еще вывод команды бывает удобно перенаправить в файл. Напиши ls -lha > list.txt, и получишь файл list.txt с подробным перечислением всего, что содержится в текущем каталоге.

Полезные шпаргалки

Вся мощь команд Linux — в дополнительных параметрах, которые ты можешь указать. Чтобы узнать о них, нужно читать справку (man), но есть способы схитрить и облегчить себе жизнь.

tldr pages — сокращенная версия man, в которой дотошные описания покромсали до абсолютного минимума (подробнее);
cheat.sh — онлайновая база данных с примерами популярных вариантов команд (подробнее);
Marker — похожая штука, но офлайновая и с подсказками «на лету» (подробнее);
explainshell.com — сервис, который автоматически разбирает сложную команду и объясняет значение ее составных частей.

Запомнить все параметры всех команд невозможно, поэтому даже заядлые линуксоиды прибегают к таким хитростям (и неустанно изобретают всё новые)!

ФАЙЛОВЫЕ СИСТЕМЫ

В Linux есть поддержка разных файловых систем. Любой современный Linux по умолчанию устанавливается на ext4 и требует создания отдельного раздела типа Swap (аналог файла подкачки в Windows). Помимо этого, обычно поддерживаются диски ext2 и ext3, XFS и FAT разных версий. В Ubuntu и некоторых других дистрибутивах из коробки доступна работа с разделами NTFS на чтение и запись. Что до маковских HFS+ и APFS, то для них обычно требуется отдельный драйвер.

Чтобы работать с какой‑то ФС (расположенной на жестком диске или на внешнем носителе), ее нужно примонтировать, а перед завершением работы — демонтировать. За это отвечают команды mount и umount. В файле /etc/fstab указываются системы, которые Linux будет монтировать автоматически при загрузке.

Отдельного упоминания заслуживает система FUSE — Filesystem in Userspace (в противовес поддержке на уровне ядра). Через эту штуку можно подключать неподдерживаемые по умолчанию файловые системы или даже сделать подобие файловой системы из API облачного сервиса. Подробнее об этом читай в статье «Все есть файл! Монтируем Git-репозитории, FTP- и SSH-ресурсы, ZIP-архивы, торренты, магнитные ссылки и многое другое».

СИСТЕМА КАТАЛОГОВ

В любой ОС есть каталоги с системными файлами, которые лучше не трогать без лишней надобности. Но если в Windows папки с системой просто лежат в сторонке, то в Linux все наоборот: ты работаешь внутри уже заданной структуры каталогов, причем во многие из них можно и нужно заглядывать.

Одна из причин такой организации в том, что файлами в Linux могут быть не только данные на диске, но и порты, процессы и другие сущности. Как ты можешь догадаться, читать и писать в них теми же средствами, что и при работе с обычными файлами, иногда очень удобно.

Слеши «не в ту сторону» вряд ли тебя смутят, но гораздо более непривычно после Windows то, что пути полностью виртуальны и никак не связаны с дисками. Данные по разным путям могут быть на разных разделах, на разных носителях или даже на разных компьютерах.

Итак, давай посмотрим на структуру каталогов, которую ты увидишь почти в любом Linux:

/ — корневая папка, или, как ее еще называют, root directory — папка, в которой хранится все остальное содержимое файловой системы;
/bin (от слова binary) — здесь лежат двоичные исполняемые файлы со всеми основными командами;
/boot — здесь расположен загрузчик и ядро ОС (файлы vmlinuz — это как раз оно и есть);
/dev — файлы в этой папке — это порты и устройства. Работая с этими файлами, приложения и драйверы могут обмениваться информацией напрямую с оборудованием. Впрочем, некоторые файлы — это не настоящие устройства, а виртуальные. Например, знаменитый /dev/null принимает любую информацию и ничего с ней не делает, а /dev/random генерирует случайные числа;
/etc — в этой папке содержатся общесистемные файлы конфигурации (тогда как пользовательские файлы конфигурации находятся в домашнем каталоге каждого пользователя). Если ты администратор системы, то сюда придется часто заглядывать при настройке разных программ;
/home — в этой папке содержатся домашние каталоги пользователей Linux. Например, если твое имя пользователя — xakep, твоя домашняя папка будет называться /home/xakep/;
/lib — папка для хранения библиотек, необходимых исполняемым файлам в папках bin и sbin;
/lost+found — в эту папку сохраняются восстановленные в случае системного сбоя файлы;
/media — в некоторых системах дополнительный каталог, где отображаются все смонтированные в системе съемные носители информации. В старых ОС может называться /cdrom;
/mnt — папка, содержащая временные точки монтирования: сюда монтируются файловые системы для временного использования;
/opt — каталог содержит подкаталоги для дополнительных пакетов программного обеспечения. Обычно используется проприетарным ПО, которое не подчиняется стандартной иерархии файловой системы Linux;
/proc — каталог со специальными файлами, которые предоставляют информацию о системе и процессах;
/root — домашний каталог суперпользователя root;
/run — этот каталог предоставляет приложениям стандартное место для файлов, существующих только во время работы системы (отсюда название), таких как сокеты и идентификаторы процессов;
/sbin — эта папка по своему назначению аналогична папке bin. Здесь лежат двоичные исполняемые файлы, которые обычно предназначены для запуска пользователем root в целях системного администрирования;
/tmp — папка для хранения временных файлов по умолчанию;
/srv — содержит данные о сервисах, предоставляемых системой;
/usr — в этой папке содержатся приложения и файлы пользователей системы. В старых Unix это был аналог /home, но затем эти вещи разделили. Условно: в /usr/ — программы, в /home — всякое барахло. Находящиеся здесь каталоги /usr/bin, /usr/sbin и /usr/lib раньше имели то же назначение, что и аналоги, лежащие в корне, но для файлов пользователей (в то время как папки в корне — для файлов, используемых самой системой). А еще есть каталог /usr/local, где есть свои bin, sbin и lib! Когда‑то подразумевалось, что здесь будут программы, специфичные для конкретного компьютера, то есть в теории зависящие от его железа. На практике софт сюда попадает по самым разным причинам;
/var — от слова variable, то есть что‑то, что может меняться. Здесь лежат бэкапы, кеши, библиотеки, логи и тому подобные вещи. Одна из важных директорий — это /var/www, где хранятся данные веб‑сайтов, если на машине установлен веб‑сервер.

Если эта система каталогов кажется тебе немного запутанной, не волнуйся, это совершенно нормально! Она создавалась годами, и что выросло, то выросло. Упрощать ее в ближайшем будущем никто не собирается, поскольку она стандартна и любые изменения повлияют на совместимость.

ПОЛЬЗОВАТЕЛИ, ПРАВА НА ФАЙЛЫ

Linux изначально задумывался как многопользовательская система, а потому разделение файлов и профилей пользователей здесь организовано на высочайшем уровне. Пользователь с ограниченными правами в системе может взаимодействовать с теми или иными файлами и каталогами.

Важно помнить, что в Linux существует суперпользователь с именем root, обладающий полными администраторскими привилегиями в операционной системе, — так сказать, самый главный босс всех боссов. Он может создавать и удалять учетки других юзеров и вообще менять глобальные настройки ОС. Любой юзер может временно побывать в роли root с помощью команды sudo (Substitute User and do, дословно «подменить пользователя и выполнить»). Но сработает этот sudo, только если ты знаешь пароль от учетной записи суперпользователя.

Каждому файлу в Linux назначается определенный набор разрешений, определяющих, кто и что может делать с этим файлом. Эти разрешения обозначаются специальными буквами:

r (read) — разрешение на чтение файла;
w (write) — разрешение на запись в файл;
x (execute) — разрешение на запуск файла;
- (прочерк) — разрешение не установлено.

Важно помнить, что каталоги Linux тоже считает файлами, поэтому для них действительны все те же разрешения и ограничения. Однако указанные разрешения не имели бы большого смысла, если бы они распространялись на всех пользователей операционной системы. К счастью, это не так: в Linux имеется три разных категории пользователей, для каждой из которых можно устанавливать свои собственные разрешения доступа к файлам:

владелец — пользователь, который создал этот файл или назначен его владельцем. Владельцем файла может быть не только учетная запись, но и сама операционная система или приложение, которое создало файл;
группа — группа пользователей, «привязанная» к данному файлу. Ты можешь узнать, к какой группе пользователей относится твоя учетная запись, с помощью консольной команды groups . Список всех зарегистрированных в системе групп обычно хранится в папке /etc/group;
другие — все, кто не относится к владельцу файлового объекта или группам пользователей.

Таким образом, разрешения доступа к любому файлу или папке можно записать в виде строки, состоящей из девяти символов и имеющей следующий вид:

rwxrwxrwx

Первые три символа здесь определяют разрешения для владельца файлового объекта, вторые — для группы, к которой относится владелец файла или папки, последние три — для всех остальных. Разрешения всегда следуют именно в таком порядке: «чтение, запись, запуск», то есть rwx. Например, обозначение вида rwxrw-r-- означает, что владелец этого файла может делать с ним что угодно, члены его группы — только читать и писать в файл, но не запускать его (разрешение x не установлено), а всем остальным пользователям системы файл доступен только на чтение.

Если эти разрешения установлены для папки, это означает, что пользователи группы также не смогут запускать хранящиеся в ней файлы, а прочим пользователям открыт доступ к содержимому папки исключительно в режиме read only.

Просмотреть права и разрешения файлов и папок можно с помощью консольной команды ls, снабженной ключом -l.

Чтобы изменить права доступа, существует команда chmod (Change Mode). При помощи этой команды можно даже не прописывать все требуемые разрешения вручную: для лентяев в Linux предусмотрены цифровые обозначения стандартных наборов разрешений. Например, команда chmod 755 filename присвоит файлу filename разрешения rwxr-xr-x (каждый пользователь имеет право читать и запускать на выполнение; владелец может редактировать), chmod 777 filename даст на выходе rwxrwxrwx (все могут делать все, что захотят), а «дьявольская» команда chmod 666 filename — вернет rw-rw-rw- (все пользователи могут читать и редактировать файл).

В современном Linux существуют еще так называемые специальные разрешения, но их мы рассматривать не будем: для начала информации вполне достаточно, чтобы чувствовать себя в системе более‑менее уверенно.

ССЫЛКИ

В Windows существуют ярлыки — что это такое, объяснять, думаем, никому не нужно. В Linux вместо них ссылки, причем двух видов — жесткие и символические.

Жесткая ссылка — это, считай, название файла. Просто в Linux их у файла может быть несколько, причем находиться они могут в разных каталогах. Следовательно, если ты создашь жесткую ссылку, а потом удалишь исходный файл, то он по‑прежнему будет доступен по ссылке — ведь она ничем не хуже исходного названия, которое ты стер!

Если же ты удалишь последнюю жесткую ссылку, файловая система больше не будет считать, что файл существует, и признает место, где он расположен, пригодным для записи другой информации.

Символические ссылки больше похожи на стандартные ярлыки Windows. Они содержат адрес целевого файла или каталога (жестких ссылок на каталог не бывает), и если он исчезнет, то ссылка будет вести «в никуда».

Жесткие ссылки создаются командой ln файл ссылка, а если нужно сделать символическую ссылку, добавь ключ -s.

УСТАНОВКА СОФТА

Тебе, конечно, никто не мешает загрузить программу в виде одного бинарного файла и запустить. Главное — не забыть дать ему права на исполнение! Но такие отдельно стоящие файлы — редкость. Обычно, чтобы программа работала, в систему нужно установить сразу много всего. Именно поэтому программы распространяются в виде пакетов через репозиторий.

Например, в Ubuntu для установки пакета достаточно написать sudo apt install пакет. Однако рекомендуется сначала сделать sudo apt update, чтобы ОС обновила свой список пакетов и узнала о выходе новых версий.

Важное отличие Linux заключается в том, что программа после установки будет разбросана по разным каталогам. Исполняемые файлы — в свой каталог, графические ресурсы — в свой, настройки — в свой, и так далее. При этом программы обычно используют общие библиотеки, что немного экономит место на диске, но иногда создает неудобные ситуации с версиями библиотек.

При использовании такой системы установки практически бесполезно пытаться выяснить, куда же установилась программа. Если тебе вдруг понадобится удалить ее, пиши apt remove пакет, и его содержимое покинет твой диск, а вместе с ним уйдут и все компоненты, которые никто, кроме него, не использовал.

Но Linux — это страна свободных исходных кодов, а потому сборка программы из исходников — обычное дело. Считай, что вместо кресла ты купил «конструктор» из IKEA. Важное отличие от нее заключается в том, что вместо инструкции со смешными человечками ты получаешь Makefile — сценарий для программы make, который соберет все сам на автопилоте. А по дороге он изучит и учтет все особенности твоей системы либо наругается на тебя из‑за отсутствия каких‑то компонентов (в отличие от пакетного менеджера, который установил бы их сам).

Итак, предположим, ты нашел на гитхабе утилиту nnn (это такой минималистичный файловый менеджер, работающий в терминале) и хочешь ее установить из исходников. Тебе понадобится сделать следующее.

Удостовериться, что у тебя в системе есть сам Git. Если его нет — установи:
sudo apt install git
Установить зависимости для nnn. Все их собирать из исходников — немного слишком, поэтому просто пиши
sudo apt install pkg-config libncursesw5-dev libreadline-dev
Теперь пора достать nnn с GitHub. Это делается такой командой:
git clone https://github.com/jarun/nnn.git
Заходи в скачанный каталог: cd nnn.
Пиши make и жми Enter. Эта команда найдет Makefile и выполнит инструкции по компиляции.
Пиши sudo make install — эта команда разложит созданные бинарные файлы по каталогам.

Готово! Можешь писать nnn, находясь в любом каталоге, и файловый менеджер запустится.

Обрати внимание, это была лишь демонстрация. В реальности проще и лучше будет установить версию nnn из репозитория. В таком случае пакетный менеджер сможет обновлять установленную программу и удалить подчистую, если понадобится. Сборка из исходных кодов может понадобиться, если софт редкий или нужна самая‑самая новая версия.

Кстати, помимо бинарных пакетов, в репозиториях бывают и пакеты с исходниками. Их сборка пройдет на автомате и позволит не морочиться с установкой зависимостей.

В последнее время набирают популярность новые системы установки, в которых программы распространяются вместе со всеми зависимостями и библиотеками: AppImage, Flatpak и Snap. Это менее экономный метод, но более удобный и надежный. Также некоторые программы удобно устанавливать через Docker — то есть вместе с миниатюрным образом Linux. Но разговор обо всем этом выходит за рамки сегодняшней статьи.

INIT И SYSTEMD

В Unix и Linux большую роль играет процесс инициализации системы, за который отвечает утилита init. Древние юниксы до пятой версии просто исполняли скрипт при включении — считай, аналог autoexec.bat. Когда софта стало слишком много, пришлось добавить такое понятие, как runlevel.

Система при загрузке переходит из одной стадии в другую и при каждом переходе запускает скрипты из определенной папки /etc/rcX.d/, где X — один из уровней загрузки:

0 — система выключена;
1 — однопользовательский режим;
2 — многопользовательский;
3 — с поддержкой сети;
5 — полная загрузка;
6 — перезагрузка.

Так, если добавить ссылку на скрипт в папку rc0.d, то он будет исполняться каждый раз перед выключением.

Именно так система делает все, что ей положено делать, — например, запускает проверку диска после внезапного выключения, ротирует логи, запускает и останавливает работающие в фоне службы (в Unix и Linux они называются демонами).

В современном Linux на смену этой системе пришла еще более изощренная — systemd. Она может заодно рулить устройствами и сетевыми соединениями и делать другие вещи. В systemd для каждого действия или службы создаются конфигурационные файлы, в которых указано, когда и при каких условиях нужно что‑то запускать или останавливать. Найти их список ты можешь в /lib/systemd/, а работают с ними при помощи команды service.

При этом система с уровнями загрузки пока что тоже поддерживается в популярных дистрибутивах, несмотря на присутствие systemd. Иначе были бы проблемы с совместимостью.

INFO

Подробнее о systemd читай в статье «Полезный демон. Как перестать бояться systemd и сделать свой сервис для Linux».

ПРОЧИЕ ПРИЛОЖЕНИЯ

При настойке сети в Linux ты, скорее всего, столкнешься с iptables — стандартным файрволом и частью системы Netfilter. Если ты выбрал Ubuntu, то настраивать его можно при помощи удобной утилиты ufw.

Другая полезнейшая утилита в Linux — это cron. Она делает примерно то же, что и планировщик заданий в Windows. В новых системах cron работает бок о бок с уже упомянутым (и гораздо более навороченным) systemd, однако использовать cron гораздо проще. Всего лишь напиши crontab -e, и в текстовом редакторе откроется файл со списком программ, которые запускаются в определенное время. Формат обычно описан там же.

WWW

Сайт crontab.guru очень сильно упрощает работу с crontab.

ИТОГИ

Продолжать рассказывать о Linux можно практически бесконечно, однако мы оставим это другим статьям. Нашей целью не было заменить этим текстом серьезные книги по Linux. Мы лишь хотели дать необходимый минимум тем, кто хочет начать поскорее разбираться на практике. Надеемся, что нам удалось снабдить тебя необходимым набором начальных знаний, которые помогут тебе не заблудиться и не пропасть в темных закоулках Linux!

t.me/anon_chan_by

Внедрение кода в ехе-файл в конец секции без добавления API-функций.

anon_channel — Sun, 14 Nov 2021 11:15:52 GMT

t.me/anon_chan_by

Алгоритм внедрения кода
Технология внедрения кода в ехе-файл применяется для изменения исходного функционирования программы при отсутствии исходного текста программы.
При низкой подготовке хакера внедрение кода может вызвать проблемы и ошибки в приложениях. Эту технологию часто используют и вредоносные приложения. Фактически, внедрение кода – это грязный взлом.
Но в учебных целях технологию внедрения знать необходимо хотя бы по тому, что необходимо представлять этот механизм и противостоять ему.

Сначала рассмотрим механизм внедрения кода без использования новых API-функций, т.к. при таком внедрении необходимо представлять все параметры внедряемых функций и способы их передачи. А это сильно усложняет процесс внедрения.

В начале процесса внедрения необходимо подсчитать количество свободных байт в секции кода. Пример такого подсчета был изложен при рассмотрении РЕ-формата.

Для внесения изменений в ехе-файл необходимо найти в программе свободное место. В простейшем случае, когда код внедрения небольшой и простой (т.е. не внедряются дополнительные API-функции) – его всегда можно найти в конце исполняемого ехе-файла (CodeCave). Механизм внедрения состоит в том, что сначала одну или две команды (в зависимости от необходимого количества байтов) необходимо скопировать и перенести в конец ехе-файла. А на их место поставить jmp на новый адрес, куда перенесена команда (команды). После написания в конце ехе-файла нового фрагмента последней командой необходимо также поставить команду jmp на адрес возврата – адрес первой неизмененной в начале ехе-файла команды.

Алгоритм внедрения простейшего кода (без добавления API-функций) в ехе-файл может быть следующий:

Подсчет числа свободных байтов в секции кода. Пример такого подсчета при помощи программы-анализатора LordPE был изложен при рассмотрении РЕ-формата.
Открываем в отладчике x64Dbg ранее полученный ехе-файл: Файл/Открыть.
Выполняем программу, нажимая кнопку F9.Копируем одну (как правило) или две (для того, чтобы вставить команду jmp с адресом перехода) команды с начала программы.
Копируем одну (как правило) или две (для того, чтобы вставить команду jmp с адресом перехода) команды с начала программы.
Вставляем скопированные команды с начала программы в конец файла и копируем адрес начала этого нового фрагмента.
На освободившееся место в начале программы вставляем команду jmp c адресом на начало нового в конце кода фрагмента.
Изменяем и/или дописываем необходимый код.
Последней командой в конце нового фрагмента должна быть команда jmp с адресом возврата – адресом первой не измененной в начале программы команды.
Сохраняем изменения.

Рассмотрим процесс внедрения на примере программы 4.1, в которой решается уравнение ab+c/d в среде masm64 и осуществляется вывод времени ее выполнения. Сначала напишем программу, получим ее ехе-файл и проанализируем его в отладчике x64Dbg.

Программа 4.1. Решение уравнения ab+c/d в среде masm64 и вывод времени ее выполнения:
Код (ASM):

include win64a.inc
.data ; директива начала сегмента данных
a1 dq 1 ; резервирование в памяти 8 байтов для переменной Х
b1 dq 2 ;
c1 dq 4 ;
d1 dq 2
res1 dq ?
titl db «Вывод через функцию MessageBox»,0; название упрощенного окна
st1 dq ?,0 ; буфер выведения сообщения.
ifmt db «Вывод чисел с памяти через MessageBox:»,10,9,»ab+c/d»,10,
«a = %d»,10,»b = %d»,10,»c = %d»,10,»d = %d»,10,»res = %d»,10,10,
«Время выполнения = %d тиков»,10, ;
«Автор программы: НТУ ХПИ, каф. ВТП»,0 ;
.code ; директива начала сегментa команд
WinMain proc
sub rsp,28h; cтек: 28h=32d+8; 8 — возврат
mov rbp,rsp
rdtsc
xchg rax,r15
mov r10,a1 ; a:=1
imul r10,r10,2 ; ab
xor rdx,rdx ; подготовка к делению
mov rax,c1 ; c:=4
mov r11,d1 ; d:=2
div r11 ; c/d
add rax,r11 ; ab+c/d
mov res1,rax
rdtsc
sub rax,r15
invoke wsprintf,ADDR st1,ADDR ifmt,a1,b1,c1,d1,res1,rax
invoke MessageBox,0,addr st1,addr titl,MB_ICONINFORMATION;
invoke RtlExitUserProcess,0 ;возвращение упр. ОС и освобожд. ресурсов
WinMain endp
end

Результат выполнения программы приведен на рис.

Алгоритм программы – линейный, переходы отсутствуют

При анализе алгоритма видно, что в начале программы располагаются две команды, которые предназначены для резервирования стека и его выравнивания на границу, кратную 16 байтам.

Первая команда программы – это rdtsc. Команда rdtsc – ассемблерная инструкция, которая читает счётчик TSC (Time Stamp Counter) и возвращающая в регистрах RDX:RAX количество тактов с момента последнего сброса процессора.
Команда rdtsc чаще всего используется:

для измерения времени;
для точного измерения временных интервалов, в том числе при проведении оптимизации (измерение времени, необходимого для выполнения конкретных инструкций или их набора);
в антиотладочных целях;
как источник энтропии для генераторов псевдослучайных чисел.

Содержимое ячеек памяти, которые указаны в программе можно просмотреть, если нажать правую кнопку мыши и выбрать Перейти к дампу/ Константа.

Рассмотрим внедрение нового кода в предыдущий пример. В качестве кода внедрения заменим арифметические операции на логические. Для упрощения программы фукционал и начальные условия оставим прежние.

Первоначальный вариант изменяем на новый, но с использования вместо команд умножения и деления логических команд, который может быть таким: Код (ASM):

mov r10,1 ;
sal r10,1 ; сдвиг влево на 1 разряд – умножение на 2
mov r11,4 ;
sar r11,1 ; сдвиг вправо на 1 разряд – деление на 2
add r10,r11 ; результат операции ab + c/d
mov res1,r10

Необходимо обратить внимание на команду занесения результата в ячейку памяти, например res1: mov res1,r10. Для записи такой команды в отладчик x64Dbg (в ехе-файл) сначала необходимо выяснить адрес ячейки памяти, а потом применить запись в виде:
mov qword ptr ds:[7FF6478B3020],r10
Фрагмент кода с применением логических команд всегда короче, а отсутствие «тяжелых» команд умножения и деления позволяет выполнить этот фрагмент намного быстрее. В рассматриваем примере, если вырезать старый функционал, то новый функционал вместится на его место. Но так бывает не всегда. Для простоты рассмотрения новый функционал разместим в конце ехе-файла. Естественно, что в таком случае необходимо проверить объем свободного места в секции программами-анализаторами РЕ-формата. Но и этот вопрос отложим для последующего рассмотрения. Будем считать, что для нашего простого внедрения места вполне достаточно.

Действия по внедрению простейшего кода (без добавления API-функций) в ехе-файл следующие:

Открываем в отладчике x64Dbg ранее полученный ехе-файл: Файл/ Открыть.
Выполняем программу, нажимая кнопку F9.
Определяем, какие команды удалить (или скопировать, если надо) как старый функционал, чтобы освободить место для команды jmp.
Если необходимо только скопировать дизассемблерный код, то выполняем действия: Shift + правая клавиша мышки (для выбора нескольких команд); «Копировать»/ «Дизассемблерный код».
Сначала устанавливаем курсор на первую команду,
00007FF69013100B 4C:8B15 EE1F0000 mov r10,qword ptr ds:[7FF690133000]которую хотим переместить и дважды нажимаем на левую клавишу мыши.
Выделенная команда имеет размерность в 7 байт. Вводим на первой выбранной команде пустую команду nop. Команда nop имеет размерность один байт. Для того, чтобы произошло автоматическое заполнение командами nop всех байт уничтожаемой команды необходимо поставить галочку Сохранить размер во всплывающем окне (рис. 4.3).
По очереди выделяем следующие команды, дважды нажимаем левую клавишу мыши, набираем команду nop и нажимаем OK.
Пропускаем 4-й шаг алгоритма, т.к. по условию задачи не надо оставлять старый функционал.
Вставляем команду jmp c адресом на адрес начала фрагмента нового в конце кода. Для этого ставим курсор после последней команды
call qword ptr ds:[<&RtlExitUserProcess>]
Копируем адрес свободной ячейки. Для этого нажимаем на ней правую кнопку мыши и выбираем Копировать/ Адрес.
После этого, ставим курсор в начало кода после команды
xchg rcx,rax
на первую пустую команду nop.
Дважды нажимаем правую клавишу мыши и в появившемся окне вводим слово jmp, затем пробел и вставляем адрес на свободную ячейку в конце программы сочетанием клавиш Ctrl + C
Нажимаем OK. Команда jmp 7FF6BC9010A4 вставилась.
Дописываем необходимый код. Для этого, в конце программы, на свободный адрес (00007FF6BC9010A4), на который будем переходить командой jmp ставим курсор мыши. Дважды нажимаем левую клавишу мыши и вводим сначала первую новую команду с новым функционалом). А затем – и все остальные.
Последней командой в конце нового фрагмента должна быть команда jmp с адресом возврата – адресом первой неизмененной в начале программы команды.
Для того, чтобы не записывать адрес возврата вручную, выделим команду в начале кода, на которую планируем возвратиться. Этой командой будет:
00007FF7BF051034 0F31 rdtscДля этого нажимаем на ней правую кнопку мыши и выбираем Копировать/ Адрес. Необходимый адрес скопируется в буфер.
В результате, новый блок кода будет иметь вид
Необходимо сохранить внесенные изменения. Это можно сделать двумя способами.

Первый способ: выбираем Файл/ Исправить файл. В новом окне выбрать пункт Исправить файл. Затем – новое имя и расширение ехе. Для того, чтобы иметь возможность вернуться и загрузить наиболее правильную исправленную версию необходимо сохранять изменения и давать каждый раз новые имена или индексы к ним для сохраненных ехе-файлов.

Второй способ: выбрать пиктограмму с названием Исправления, нажать на кнопку Исправить файл, а далее новое имя и расширение ехе.
После проведенных преобразований новый ехе-файл выводит сообщение, которое в дальнейшем можно тоже изменить.

Можно изменить и текстовые сообщения.
Для внесения изменений в упрощенное окно вывода информации можно использовать функцию преобразования wsprintf. Это позволит также внести изменения в вывод информации в самом окне.
При передаче параметров в функции wsprintf

первым параметром является параметр ADDR st1, который передается функции через регистр RCX.
Второй параметр – это ADDR ifmt – строка форматирования, который передается через регистр RDX.
Третий параметр – Z – передается через регистр R8.
Четвертый параметр – X – передается через регистр R9.
Остальные параметры передаются через стек. Например, пятый – параметр Y – через [rsp + 20h]. Шестой – параметр rax – через [rsp + 28h] и т.д.

Можно внести изменения и в функцию MessageBox. Эта функция предназначена для вывода сообщений. В ней можно поменять и титул упрощенного окна, и непосредственное сообщение.
Для внесения изменений в вывод информации необходимо воспользоваться таблицей кодировки символов страницы кодировки 1251, например http://foxtools.ru/ASCII#1251

Будем менять второй параметр функции wsprintf – это ADDR ifmt – строка форматирования, который передается через регистр RDX.
Для этого, выделяем правой кнопкой мыши строку с передачей второго параметра
lea rdx,qword ptr ds:[7FF608483057]
и выбираем Перейти к дампу/ Константа.

После того, как в дампе памяти будет отображаться содержимое, начиная с адреса 7FF608483057,необходимо подвести курсор к тем байтам дампа памяти, которые будем менять. Дважды нажать левую клавишу мышки на ячейке дампа памяти и в появившемся окне исправляем кодировку символов

Наиболее часто применяемый символ – это символ пробела. Он имеет кодировку = 20. Этой кодировкой можно затереть всю ненужную информацию. А более практично – это написать любой текст, например, слово Инфицировано, каждая буква которого кодируется соответствующим символом, а все слово пишется как C8 ED F4 E8 F6 E8 F0 EE E2 E0 ED EE. Для изменения нескольких подряд расположенных байтов в дампе памяти удобнее мышкой выделить эти значения, нажать на правую клавишу мышки Двоичные операции/Заполнить и ввести новую текстовую информацию

Окно с окончательным результатом внедрения приведено на рис.

Таким образом, после проведенного внедрения кода можно сделать выводы:

проще внедрять изменения в окончательную функцию вывода информации. В рассматриваемом примере – это функция MessageBox;
после каждого законченного этапа внедрения обязательно делать сохранение ехе-файла и каждый раз с новым именем или с индексом для его расширения.

t.me/anon_chan_by

Как стать хакером: гайд по основам для новичков

anon_channel — Fri, 12 Nov 2021 10:48:03 GMT

t.me/anon_chan_by

Хакерство - это поиск уязвимостей в сети или компьютере с целью получения доступа. Стать хакером непросто, и в этой статье мы затронем основы.

Чтобы стать хакером, необходимы глубокие знания языков программирования, методов взлома, поиска уязвимостей, устройства сетей, операционных систем и проч. Также у вас должен быть творческий тип мышления. Вы должны быстро адаптироваться под ситуацию, находить нестандартные решения, проявлять креативность.

Если описанные выше навыки можно развить со временем, то чтобы понять, например, устройство MySQL или научиться работать с PGP-шифрованием, придется много учиться. И долго.

Чтобы стать хакером, вам нужно:

Изучить и использовать UNIX-систему, например, Ubuntu или MacOS

Изначально UNIX-системы были предназначены для программистов, разрабатывающих ПО, а не для пользователей, которые никак не относятся к сфере IT. UNIX-системы - это системы, на которых стоит почти весь Интернет, т. к. в качестве сервера в основном используют их же (чаще всего Debian и Ubuntu). Вы не можете стать хакером, не изучив их и не научившись работать с терминалом.

Для пользователей Windows

Если вы используете Windows, для вас есть хорошая новость: не надо удалять текущую систему и форматировать диск. Есть несколько вариантов работы с Linux:

Изучите VirtualBox (программа-эмулятор для операционной системы). Изучив его, вы сможете запускать операционную систему в операционной системе. Звучит страшно, но программа бывает очень полезна.
Установите Linux рядом с Windows. Если вы всё сделаете правильно, загрузчики систем не будут конфликтовать. Делается это довольно просто: есть много мануалов в Интернете.

Изучить язык разметки HTML

Если вы ещё не знакомы с программированием, ~~тогда я вообще не понимаю, что вы делаете тут~~ тогда у вас есть отличная возможность начать свой путь с изучения Hyper Text Mark-Up Language. Независимо от того, что вы видите на сайте, знайте, что всё это HTML.

Приведу пример использования HTML, пусть он и немного связан с PHP. В начале 2015 года была обнаружена уязвимость в теме WordPress, позволяющая закачивать производные (исполнительные) файлы на сервер. Файл, в котором была найдена уязвимость - admin/upload-file.php. Вот он:

Чтобы сделать форму отправки для этого файла, нужно знать HTML. Отправив файл, который, к примеру, вытаскивает все пароли или даёт доступ к базе данных, вы вольны делать с веб-сервисом всё, что вам угодно.

Итак, знание HTML нужно для того, чтобы:

Искать уязвимости веб-ресурсов.
Использовать эти уязвимости.

Изучить несколько языков программирования

Как мы все знаем, чтобы нарушать правила, нужно для начала знать их. Этот же принцип работает для программирования: чтобы взломать чей-то код, вы должны знать, как работают языки программирования, и самому уметь программировать. Некоторые из наиболее рекомендуемых ЯП для изучения:

Python : это, пожалуй, самый лучший язык для веб-разработки. На нём написаны два крупных фреймворка, на которых создано огромное кол-во веб-приложений, это Flask и Django. Язык хорошо построен и задокументирован. Самое главное, что его очень просто выучить. К слову, много разработчиков используют Python для создания простой и полной автоматизации.
C++ : язык, использующийся в промышленном программировании. Его преподают в школах, вузах. На нём пишутся сервера. Рекомендую начать изучение языков с него, т. к. он содержит в себе все принципы ООП. Научившись работать с ним, вы с лёгкостью освоите другие языки.
JavaScript, JQuery : в основном, практически все сайты используют JS и JQuery. Необходимо знать, что на этих сайтах зависит от JS, например, формы для ввода паролей. Ведь некоторые сайты не дают выделить и скопировать некоторую информацию, не дают скачать файл или просмотреть содержимое, однако, чтобы сделать это, достаточно отключить JS в браузере. Ну а чтобы отключить JavaScript, нужно знать: а) в каких ситуациях работа (защита) сайта зависит от него; б) как JavaScript подключается и какими способами можно блокировать работу скриптов.
SQL : самое интересное. Все пароли, личные данные, хранятся в базах данных, написанных на SQL. Самая распространённая система управления БД - MySQL. Чтобы понять, как использовать MySQL-инъекцию, нужно знать, что такое MySQL-инъекция. Чтобы уловить суть MySQL-инъекции, нужно знать, что такое MySQL-запросы, каков синтаксис этих запросов, каково устройство базы данных, как хранятся данные, что такое таблицы и т. д.

Изучить устройства сетей

Вы должны чётко понимать устройства сетей и принципы их работы, если хотите стать хакером. Важно понять, как создаются сети, понять различие между протоколами TCP/IP и UDP и проч. Узнайте, какой сетью пользуетесь вы. Научитесь настраивать её. Выясняйте возможные векторы атаки.

Имея глубокие знания о различных сетях, вы сможете использовать их уязвимости. Также вам необходимо понять устройство и принцип работы веб-сервера и веб-сайта.

Изучить криптографию

Это неотъемлемая часть обучения. Необходимо понимать алгоритмы различных шифров, например, SHA-512, алгоритм OpenSSL и проч. Также нужно разобраться с хешированием. Криптография используется везде: пароли, банковские карты, криптовалюты, торговые площадки и проч.

Kali Linux: некоторый полезный софт

NMAP :- Nmap (“Network Mapper”) бесплатная open-source программа, которая является предустановленной в Kali. Написана Gordon Lyon (также известен под псевдонимом Fyodor Vaskovich). Она нужна для обнаружения хостов и различных сервисов, создавая таким образом "карту сети". Она используется для проверки сети или аудита безопасности, для быстрого сканирования больших сетей, хотя она отлично работает с одиночными хостами. Программное обеспечение предоставляет ряд функций для исследование компьютерных сетей, включая обнаружение узлов и операционной системы. Nmap использует необработанные IP-пакеты чтобы определить, какие хосты доступны в сети, какие службы (имя и версия приложения) эти хосты предлагают, какие ОС они запускают, какие типы фильтров пакетов/файрволлы используют, а также десятки других характеристик.
Aircrack-Ng :- Aircrack - это одна из самых популярных программ для взлома WEP/WPA/WPA2 протокола. Комплект Aircrack-ng содержит инструменты для захвата пакетов и "рукопожатий", деавторизации подключённых пользователей, создания трафика и инструментов для брутфорса сети и атак по словарю.

Заключение

В этой статье мы разобрались в основах, без которых вы вряд ли сможете стать хакером. К слову о трудоустройстве. Как правило, люди, занимающиеся информационной безопасностью либо работают фрилансерами, выполняя заказы частных лиц, либо работают на компанию, обеспечивая безопасность хранящихся данных, выполняют работу системного администратора, etc.

t.me/anon_chan_by

На страже ядра. Обнаруживаем руткиты с помощью нового плагина DRAKVUF

anon_channel — Thu, 11 Nov 2021 08:13:51 GMT

Содержание статьи

Техники
Inline-перехваты
Перехват таблицы системных вызовов
Перехваты IDT/GDT
MSR LSTAR
Перехваты функций DRIVER_OBJECT
Техника сокрытия процесса от Task Manager
Регистрация системных функций обратного вызова
Заключение

Чаще всего при анализе поведения подозрительной программы наблюдают за пользовательским режимом, а код в ядре остается вне поля зрения аналитика. Отчасти это правильно, поскольку больше всего вредоносной деятельности ведется именно в пользовательском пространстве. Тем не менее вредоносный код в ядре может нанести больше ущерба, и его сложнее обнаружить. Однако это возможно.

С появлением KPP (Kernel Patch Protection), или сокращенно PatchGuard, в Windows стало сложнее модифицировать ядро без последствий. Если раньше, например, таблицу системных вызовов с целью фильтрации системных вызовов перехватывали даже такие легитимные программы, как антивирусы, то с появлением KPP это стало не так просто. Тем не менее для руткитов PatchGuard не представляет особой угрозы, поскольку техники его обхода можно найти в открытом доступе, они развиваются и актуальны по сей день. В этой статье будет рассматриваться множество техник модификации ядра, включая те, что обнаруживает PatchGuard, на примере нового плагина для DRAKVUF — rootkitmon.

Мы уже несколько лет разрабатываем песочницу для рискориентированной защиты, использующую фреймворк DRAKVUF. DRAKVUF — безагентная песочница, основанная на библиотеке LIBVMI и гипервизоре XEN. Все возможности DRAKVUF реализованы в плагинах. Каждый из двадцати с лишним плагинов выполняет определенную работу: для обнаружения доступа к файлам есть плагин filetracer, для трассировки системных вызовов — плагин syscalls. Rootkitmon — новый плагин, позволяющий отслеживать вредоносную активность в ядре средствами DRAKVUF.

Существует множество определений понятия «руткит», мы же будем опираться на следующее: «компьютерная программа, которая использует недокументированные и (или) запрещенные техники для манипуляции ядром операционной системы в своих целях».

ТЕХНИКИ

В «джентельменский набор» плагина входят возможности детектировать следующие типы перехватов:

модификация кода загруженных драйверов в памяти (inline-перехваты);
модификация таблиц системных вызовов, таблиц прерываний и таблиц дескрипторов;
модификация регистра MSR LSTAR;
модификация указателей на функции DRIVER_OBJECT, стек DEVICE_OBJECT;
сокрытие процесса из списка EPROCESS;
регистрация различных системных функций обратного вызова.

Поскольку руткитов намного меньше, чем вредоносного ПО в пользовательском пространстве, и время выполнения образца всегда ограниченно, уменьшение нагрузки плагина на работающую систему было приоритетной задачей. Для этого во многих случаях было решено сверять целостность критических структур в начале анализа и в конце, а не выполнять непосредственный перехват на запись страниц памяти.

Inline-перехваты

Рассмотрим самый распространенный тип перехватов и, возможно, самый легко обнаруживаемый — inline-перехваты. Inline-перехваты очень популярны, и даже Microsoft предоставляет возможность перехватить API-библиотеки, добавляя перед функциями двухбайтовый пролог вроде mov edi, edi для быстрого редактирования функциональности уже загруженных и работающих компонентов. Конечно, такие перехваты возможны только в пользовательском режиме, а в ядре караются синим экраном с кодом ошибки 0x109, если PatchGuard не выключен.

Inline-перехваты обычно состоят из трех частей:

подмена первых нескольких инструкций целевой функции для перенаправления потока выполнения на код своего приложения;
обработка целевой функции: изменение параметров, фильтрация, логирование;
выполнение подмененных инструкций и возврат на оригинальную функцию.

Рассмотрим простой пример вызова CreateFileW из библиотеки kernel32.dll. Пройдя все библиотеки, в итоге код окажется в ядерной функции nt!NtCreateFile. Если бы руткит установил перехват на эту функцию, он бы мог выглядеть следующим образом.

Поскольку код находится в страницах с правами только на чтение и выполнение, для записи в такие страницы необходимо либо выделить новую виртуальную страницу с правами на запись и спроецировать ее на физическую страницу, где находится код, либо отключить бит Write Protect в специальном регистре управления CR0, что позволит выполнять запись в страницы в обход их прав для текущего ядра.

Обнаружение таких перехватов сводится к подсчету контрольной суммы секций драйвера в момент начала анализа и пересчету, сверке контрольной суммы в конце. В отличие от PatchGuard, который защищает только небольшой список системных драйверов, мы можем проверять абсолютно все загруженные драйверы из списка PsLoadedModules.

PsLoadedModules — двусвязный список структур _KLDR_DATA_TABLE_ENTRY, описывающих загруженный драйвер: его базовый адрес, размер, имя, характеристики и прочее.

Для перечисления загруженных модулей ядра с помощью DRAKVUF API мы реализовали метод drakvuf_enumerate_drivers. В плагине rootkitmon список PsLoadedModules проходится два раза: в начале инициализации плагина — для подсчета контрольных сумм секций драйверов — и в конце — для сравнения значений.

В случае расхождения в логе появится строка:

"\Device\HarddiskVolume2\Windows\System32\explorer.exe":KiDeliverApc SessionID:0 PID:1968 PPID:476 Reason:"Driver section modification" Driver:"ntoskrnl.exe"

Для отработки в конце анализа мы добавляем перехват часто вызываемой ядерной функции KiDeliverApc. Поскольку мы заранее не знаем, какой поток вызовет эту функцию и в каком контексте процесса этот поток находился, имя процесса, его PID и PPID, которые DRAKVUF автоматически сохраняет в журнале, не имеют отношения к детекту, в то время как поле Reason и все поля, следующие за ним, имеют. В данном случае поле Reason означает обнаруженную вредоносную технику, а поле Driver — название модифицированного драйвера.

Перехват таблицы системных вызовов

SSDT (System Service Descriptor Table) — массив указателей на обработчики системных вызовов в 32-битных системах или список смещений относительно базового адреса таблицы на 64-битных ОС. Как говорилось ранее, до появления PatchGuard эта таблица активно использовалась легитимными программами, а также руткитами для фильтрации и мониторинга системных вызовов. Перезапись одного указателя в такой таблице равносильна перехвату всех вызовов определенного обработчика, что намного проще inline-перехватов, рассмотренных до этого.

На данный момент в ОС Windows существует два таких массива под символами nt!KiServiceTable и win32k!W32pServiceTable для системных вызовов к модулю ntoskrnl.exe и графической подсистеме win32k.sys соответственно. Количество элементов в этих массивах сохранено в переменных nt!KiServiceLimit и win32k!W32pServiceLimit.

Указатель на SSDT находится в специальной структуре KSYSTEM_SERVICE_TABLE, или SST, под именем ServiceTableBase:

Описание структуры KSYSTEM_SERVICE_TABLE

typedef struct _KSYSTEM_SERVICE_TABLE

{

PULONG ServiceTableBase;

PULONG ServiceCounterTableBase;

ULONG NumberOfService;

ULONG ParamTableBase;

} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

В то же время массив этих структур лежит в таблицах nt!KeServiceDescriptorTable и nt!KeServiceDescriptorTableShadow. Если в первой хранится только SST для обработчиков системных вызовов NT, то во второй добавляется SST-таблица графической подсистемы win32k.

Можно заметить, что первая SST-структура в обеих таблицах одинакова. При системном вызове ОС Windows использует нижние 12 бит регистра eax как индекс в одной из SSDT-таблиц, а биты 12–13 указывают, какую SDT-структуру выбрать: nt!KeServiceDescriptorTable или nt!KeServiceDescriptorTableShadow.

В первой части статьи уже шла речь о том, что на 64-битных системах SSDT содержит массив смещений, а виртуальный адрес обработчика системного вызова вычисляется по формуле

RoutineAddress = ServiceTableBase + (ServiceTableBase[index] >> 4)

Сдвиг на 4 необходим, поскольку первые 4 бита содержат количество параметров, передаваемых через стек.

Если взглянуть на пример с вызовом CreateFileW, учитывая вышеизложенное, он будет выглядеть следующим образом.

Мониторинг модификации SSDT-таблиц заключается в выставлении ловушек на запись в физические страницы памяти данных таблиц и реализован в плагине ssdtmon.

Перехват nt!KiServiceTable уже был реализован в этом плагине, и мы лишь добавили поддержку таблицы win32k!W32pServiceTable. Также в плагине вредоносной считается запись, совершенная на 8 байт ниже начала таблицы. Это связано с тем, что с помощью 16-битных XMM-инструкций можно переписать первые 12 байт таблицы, записывая на 4 байта ниже ее начала. Тем самым можно обойти тривиальную проверку границ. Стоит заметить, что в то время, как таблица nt!KiServiceTable находится в секции данных модуля ntoskrnl.exe и доступна из всего ядерного пространства, win32k!W32pServiceTable принадлежит модулю win32k.sys и для доступа к данному драйверу нужно находиться в контексте какого‑либо графического процесса, например explorer.exe.

Чтобы получить физический адрес страницы таблицы win32k!W32pServiceTable, плагин находит PID графического процесса explorer.exe и использует регистр CR3 этого процесса для трансляции виртуального адреса таблицы в физический:

Код получения значений win32k!W32pServiceTable и win32k!W32pServiceLimit

vmi_pid_t gui_pid = 0;

if (!drakvuf_get_process_pid(drakvuf, gui_process, &gui_pid))

{

PRINT_DEBUG("[SSDTMON] Failed to get PID of "explorer.exe"\n");

throw -1;

}

addr_t w32k_base = 0;

vmi_lock_guard vmi(drakvuf);

// Locate Win32k.sys base address

if (!get_driver_base(vmi, this, "win32k.sys", &w32k_base))

{

PRINT_DEBUG("[SSDTMON] Failed to find win32k.sys in PsLoadedModuleList\n");

throw -1;

}

// Read ssdt shadow size

if (VMI_SUCCESS != vmi_read_32_va(vmi, w32k_base + w32psl_rva, gui_pid, &this->w32pservicelimit))

{

PRINT_DEBUG("[SSDTMON] Failed to read W32pServiceLimit\n");

throw -1;

}

if (VMI_SUCCESS != vmi_translate_uv2p(vmi, w32k_base + w32pst_rva, gui_pid, &this->w32pservicetable))

{

PRINT_DEBUG("[SSDTMON] Failed to translate win32k!W32pServiceTable to physical address\n");

throw -1;

}

После чего выставляются ловушки на эти физические страницы, и, поскольку обе таблицы находятся в секциях READ ONLY, любая запись в них может расцениваться как вредоносная.

Перехваты IDT/GDT

Продолжая тему перехвата таблиц, отметим, что существует еще два типа, которые могут представлять интерес: таблицы IDT и GDT.

IDT (Interrupt Descriptor Table) — таблица прерываний в архитектуре х86, которая служит для корректного ответа на прерывания и исключения. В IDT используются следующие типы прерываний: аппаратные, программные и прерывания, зарезервированные процессором, — они называются исключениями (первые 32 штуки) и используются на случай возникновения некоторых недопустимых событий, таких как деление на ноль, ошибка трассировки, переполнение.

Регистр IDTR содержит базовый адрес (32 бита в защищенном режиме, 64 бита в режиме IA-32e) и 16-битный размер таблицы в байтах. Инструкции LIDT и SIDT загружают и сохраняют регистр IDTR соответственно.

Таблица дескрипторов прерываний используется для того, чтобы показать процессору, какую процедуру обслуживания прерывания (ISR) вызывать для обработки исключения. Для этой же цели существует ассемблерная инструкция int N, где N — это номер прерывания.

Каждый элемент в таблице прерываний на 64-битных системах имеет структуру IDTENTRY64.

Реальный же адрес обработчика прерывания вычисляется по следующей формуле:

RoutineAddress = OffsetHigh << 32 + OffsetMiddle << 16 + OffsetLow

В плагине мы подсчитываем контрольную сумму всей IDT-таблицы на каждом логическом ядре и сохраняем для проверки в конце анализа.

На рисунке выше видно, что, помимо IDT, мы также перечисляем и сохраняем GDT-таблицу. GDT (Global Descriptor Table) — структура в архитектуре х86, помогающая процессору распределить память по сегментам. Каждый элемент таблицы, называемый сегментным дескриптором, содержит адрес, размер (лимит), флаги прав и атрибутов таких областей.

Адрес и размер таблицы хранится в отдельном системном регистре GDTR.

В режиме х64 из‑за линейной модели памяти каждый сегмент в таблице охватывает все адресное пространство и различие можно наблюдать лишь в флагах доступа к данным сегментам. К сожалению, мы не обнаружили руткиты, которые как‑либо модифицировали таблицу GDT. Но поскольку PatchGuard защищает ее, мы также добавили проверку на добавление, удаление и модификацию элементов таблицы.

Если IDT- или GDT-таблицы расходятся в начале и в конце анализа образца, плагин выписывает следующие строчки:

"\Device\HarddiskVolume2\Windows\System32\explorer.exe":KiDeliverApc SessionID:0 PID:1968 PPID:476 Reason:"IDT modification"

"\Device\HarddiskVolume2\Windows\System32\explorer.exe":KiDeliverApc SessionID:0 PID:1968 PPID:476 Reason:"GDT modification"

MSR LSTAR

Еще одна возможная цель руткитов — перезапись системного регистра MSR LSTAR (0xc0000082). Согласно спецификации, после системного вызова инструкцией syscall в регистр RIP будет загружено значение MSR LSTAR, которое в Windows указывает на адрес системной функции KiSystemCall64.

Как видно, первая инструкция в ядре после системного вызова — swapgs. Согласно документации Intel, SWAPGS exchanges the current GS base register value with the value contained in MSR address C0000102H (IA32_KERNEL_GS_BASE).

В то время как пользовательский регистр gs всегда указывает на TEB текущего потока, в ядре gs будет указывать на Processor control region текущего ядра.

В отличие от SSDT-перехватов, перезапись LSTAR позволяет перехватывать и фильтровать все системные вызовы сразу. Но для этого руткиту нужно сделать дополнительную работу, а именно: вызвать инструкцию swapgs, сохранить пользовательский стек, загрузить ядерный стек. Часто в перехваченном обработчике LSTAR можно встретить следующий код.

Rootkitmon обнаруживает модификацию MSR LSTAR, сверяя его значение с адресом функции KiSystemCall64 в конце анализа. Мониторинг записи в MSR LSTAR в DRAKVUF на данный момент невозможен. Во‑первых, перехватываться могут только записи во все MSR-регистры. Во‑вторых, перехват MSR на запись сильно нагружает систему, поскольку на каждом системном вызове инструкция swapgs записывает в IA32_KERNEL_GS_BASE MSR, как говорилось выше. В‑третьих, мониторинг MSR LSTAR на запись часто приводит к ложным срабатываниям, поскольку, как мы заметили, PatchGuard сам перезаписывает этот MSR во время выполнения своих проверок.

ПЕРЕХВАТЫ ФУНКЦИЙ DRIVER_OBJECT

У каждого загруженного драйвера в системе есть структура DRIVER_OBJECT. Она описывает состояние драйвера, который отвечает за ее инициализацию во время своей загрузки. В частности, для коммуникации с пользовательскими программами драйвер должен инициализировать массив MajorFunction. Он, в свою очередь, содержит адреса обработчиков для всех запросов, на которые драйвер может отвечать. Например, когда пользовательское ПО будет использовать API ReadFile с описателем драйвера, Windows создаст специальный IRP-запрос и вызовет обработчик из массива MajorFunction этого драйвера — в данном случае IRP_MJ_READ.

Перезапись указателей на обработчики, как и в случае с SSDT, приведет к перехвату всех вызовов определенного типа запроса к драйверу. Особенность этой техники состоит в том, что PatchGuard защищает только небольшой список объектов драйверов и перехват любого драйвера не из списка не приведет к BSOD’у системы.

Помимо массива MajorFunction, также существует массив быстрых IO-операций — FastIoDispatch. В отличие от MajorFunction, быстрые IO-операции предназначены исключительно для драйверов файловой системы и сетевых драйверов. Рассмотрим, что такое объекты и как можно их перечислять непосредственно из контекста гипервизора.

В Windows каждый ресурс (процесс, поток, файл и так далее) представлен в виде объекта и управляется диспетчером объектов Windows. Например, в Windows 10 1803 существует около 64 различных типов объектов.

Каждый объект состоит из двух частей:

OBJECT_HEADER — специальный заголовок фиксированного размера, который находится перед телом объекта и которым владеет диспетчер объектов;
Body — часть объекта, представляющая системный ресурс (EPROCESS для процессов, ETHREAD для потоков, FILE_OBJECT для файлов и так далее).

Многие объекты содержат данные, которые постоянны для всех объектов одного типа. Для экономии памяти диспетчер объектов хранит статичные данные одного типа объектов в специальной структуре OBJECT_TYPE.

Все типы объектов хранятся в массиве под символом nt!ObTypeIndexTable. В то же время в заголовке объекта находится поле TypeIndex, которое указывает на индекс в данном массиве. Для наглядности найдем структуру типа объекта EPROCESS.

Объекты хранятся в специальной директории _OBJECT_DIRECTY. Указатель на корневую директорию содержится в nt!ObpRootDirectoryObject.

Всего в директории может быть 37 записей, где каждая запись — указатель на связный список _OBJECT_DIRECTORY_ENTRY со следующей структурой.

Object — это тело объекта. Директории также могут быть вложенными, для них существует специальный тип Directory, и, если Object имеет данный тип, он трактуется как OBJECT_DIRECTORY.

Соответственно, для перечисления всех объектов драйверов в системе rootkitmon рекурсивно обходит каждую директорию и сохраняет объект, если он относится к типу Driver.

У каждого полученного объекта подсчитывается контрольная сумма массивов MajorFunction и FastIoDispatch, а также указателей DriverStartIo и DriverUnload. Несовпадение контрольной суммы по результатам анализа означает вредоносную модификацию этих структур.

Помимо DRIVER_OBJECT, мы также сохраняем каждый DEVICE_OBJECT в стеке девайсов. DEVICE_OBJECT может представлять логическое, физическое устройство или просто некие возможности драйвера. Сама структура DEVICE_OBJECT всегда создается драйвером функцией IoCreateDevice. Когда система посылает IRP-запрос драйверу, она направляет его какому‑либо девайсу. Массив MajorFunction имеет указатели на обработчики запросов со следующим прототипом.

Первым аргументом всегда будет указатель на девайс‑объект, к которому был отправлен запрос. Соответственно, драйвер может иметь бесконечно много различных девайсов и обрабатывать каждый по‑своему.

Windows позволяет формировать стек девайс‑объектов. Обычно, когда на девайс оправляется запрос, его помогают обработать несколько драйверов. Каждый из этих драйверов связан с девайс‑объектом, и такие объекты расположены в стеке. Последовательность девайс‑объектов с соответствующими драйверами называется стеком девайс‑объектов. Например, так выглядит стек девайс‑объектов жесткого диска.

Видно, что запрос пройдет несколько «высокоуровневых» драйверов, прежде чем оказаться в обработчике контроллера жесткого диска stornvme. Такие запросы можно перехватывать, регистрируя свой драйвер в стек‑девайсе объектов с помощью IoAttachDeviceToDeviceStack. Также Windows позволяет регистрировать специальный драйвер — мини‑фильтр с помощью FltRegisterFilter, который может вызываться на различных IO-запросах. Отличный пример работы мини‑фильтров показан на рисунке ниже.

Хотя регистрация мини‑фильтра не считается вредоносной, перехват этой функции может дать отличное представление о возможностях анализируемого драйвера.

Если стек девайсов модифицирован или зарегистрирован мини‑фильтр, DRAKVUF покажет следующие строки:

"\Device\HarddiskVolume2\Windows\System32\explorer.exe":KiDeliverApc SessionID:0 PID:1968 PPID:476 Reason:"Driver stack modification"

"\Device\HarddiskVolume2\Windows\System32\explorer.exe":KiDeliverApc SessionID:0 PID:1968 PPID:476 Reason:"FltRegisterFilter"

ТЕХНИКА СОКРЫТИЯ ПРОЦЕССА ОТ TASK MANAGER

Одна из классических техник сокрытия процесса — удаление его из связного списка структур EPROCESS. EPROCESS — ядерная структура, описывающая состояние запущенного процесса. Другими словами, на каждый запущенный процесс заводится отдельная структура EPROCESS. Система связывает каждую структуру EPROCESS с другими с помощью двойного связного списка LIST_ENTRY. Сам список состоит из двух элементов — указателя Flink на следующую структуру EPROCESS в цепочке и указателя Blink на предыдущую структуру в цепочке. PsProcessActiveHead — указатель на связный список процессов.

Так, при вызове команды cmd /c tasklist или открытии Task Manager Windows просматривает связный список процессов и возвращает информацию по каждому из них. Чтобы процесс не высвечивался в данных списках, достаточно удалить его из цепочки. Для этого необходимо, чтобы Flink предыдущего процесса в цепочке указывал на структуру следующего, а Blink следующего процесса указывал на предыдущий. Также во избежание BSOD’ов ссылки скрытого процесса должны указывать друг на друга, как показано на рисунке ниже.

Для мониторинга сокрытия процесса из связного списка плагин rootkitmon перехватывает две системные функции: PspInsertProcess и PspProcessDelete. Как можно догадаться по названию, первая функция вставляет только что созданный процесс в связный список структур EPROCESS, а вторая удаляет.

Также плагин содержит внутренний список всех запущенных процессов в системе, который заполняется при инициализации плагина и пополняется (или отчищается) при создании и завершении процесса.

Соответственно, если на завершении процесса его указатели Flink и Blink замкнуты — процесс был скрыт.

Но что, если процесс не был завершен в конце анализа? Для этого плагин перечисляет связный список структур EPROCESS и сравнивает его с имеющимся в момент завершения: если процесс из старого списка не был найден в новом, он был скрыт.

Такой подход не нагружает систему и очень эффективен. Если будет обнаружен скрытый процесс, в логах DRAKVUF появится такая строка:

"\Device\HarddiskVolume2\Windows\System32\explorer.exe":KiDeliverApc SessionID:0 PID:1968 PPID:476 Reason:"Hidden process" HiddenPid:1624

где HiddenPid — PID скрытого процесса.

РЕГИСТРАЦИЯ СИСТЕМНЫХ ФУНКЦИЙ ОБРАТНОГО ВЫЗОВА

Напоследок разберем несколько индикаторов, которые не являются вредоносными, но могут таковыми оказаться.

Microsoft предоставляет «официальный» способ перехвата системных событий с помощью регистрации функций обратного вызова (колбэков). Например, чтобы получать оповещения о создании или завершении процессов, драйвер может зарегистрировать колбэк с помощью API PsSetCreateProcessNotifyRoutine, для подписки на создание потоков — PsSetCreateThreadNotifyRoutine.

Только документированных колбэков больше пятнадцати, в DRAKVUF мы перехватываем следующие API регистрации колбэков:

PspSetCreateProcessNotifyRoutine — подписка на создание/завершение процесса;
PspSetCreateThreadNotifyRoutine — подписка на создание/завершение потока;
PsSetLoadImageNotifyRoutine — подписка на загрузку модулей;
CmpRegisterCallbackInternal — подписка на работу с реестром;
ObRegisterCallbacks — подписка на получение описателей процесса, потока и рабочего стола;
FsRtlRegisterFileSystemFilterCallbacks — подписка на работу с файловой системой.

Список не исчерпывающий и в будущих ревизиях плагина может изменяться. Сама по себе регистрация колбэка не считается вредоносной, но дает хорошее представление, что делает анализируемый драйвер в песочнице. На текущий момент плагин просто перехватывает функции регистрации колбэков и фиксирует названия функций регистрации, если такие были вызваны.

ЗАКЛЮЧЕНИЕ

Плагин rootkitmon находится на ранних стадиях разработки, но уже позволяет обнаружить такие руткиты, как Moriya, TDSS, Necurs и многие другие. Rootkitmon не нагружает систему и поддерживает как Windows 7 x64, так и Windows 10 x64. Дальше количество техник обнаружения вредоносной активности будет только увеличиваться.

Хакер - Не App Store единым. Устанавливаем сторонние приложения в iOS без джейла

anon_channel — Wed, 10 Nov 2021 16:59:27 GMT

t.me/anon_chan_by

Содержание статьи

Почему нельзя просто установить приложение
Официальный путь: аккаунт разработчика
Полуофициальный путь: Cydia Impactor
Идем в серую зону: подпись пакета обычным Apple ID
Nullximpactor
iOS App Signer
AltDeploy и AltStore
Подпись в режиме онлайн
Альтернативные магазины приложений
TestFlight
Где взять пакеты приложений?
Заключение

Экосистему Apple недаром называют «огороженным садом»: компания жестко контролирует, что пользователь может, а чего не может делать со своими устройствами. В случае с iOS и iPadOS этот контроль достигает абсурдных масштабов, когда законный владелец устройства теряет возможность устанавливать приложения в обход модерируемого и цензурируемого магазина приложений. В этой статье мы рассмотрим способы снятия этого ограничения, от самых простых, «в один клик», до сложных, но надежных.

ПОЧЕМУ НЕЛЬЗЯ ПРОСТО УСТАНОВИТЬ ПРИЛОЖЕНИЕ

На современных мобильных платформах можно запускать только код, подписанный цифровой подписью. Но если в Android можно залить пакет приложения, подписанный обычным цифровым сертификатом, то в iOS ситуация сложнее: пакет подписывается в момент установки, а уникальная для каждого устройства цифровая подпись разрешает запускать его лишь на том устройстве, для которого она была создана.

Добавим сюда тот факт, что цифровые подписи в одно лицо выдает (а может и отозвать!) только сама компания Apple, и получим ситуацию, в которой никакой неподписанный (точнее — подписанный «неправильной» цифровой подписью) код на устройстве выполняться не может.

ОФИЦИАЛЬНЫЙ ПУТЬ: АККАУНТ РАЗРАБОТЧИКА

Самый простой и единственно честный путь решения этой проблемы — официальный. При желании приложения все‑таки можно устанавливать, минуя App Store, но путь этот тернист, а для обычного пользователя просто недоступен.

Один из таких способов — различные варианты корпоративной и специальной дистрибуции. Так, в случае с корпоративной дистрибуцией клиент (образовательное учреждение или крупная компания — например, транспортная) регистрирует корпоративную учетную запись, получая возможность самостоятельно подписывать пакеты приложений и рассылать их на корпоративные устройства через MDM (Mobile Device Management).

Для подписи используется специальный enterprise-сертификат, срок действия которого, как правило, ограничен одним годом, зато отсутствуют ограничения на число подписываемых им приложений. При первом запуске подписанного таким сертификатом приложения пользователю (если его устройство не было заранее настроено компанией‑владельцем) нужно будет открыть настройки и добавить сертификат в список доверенных. В этот момент устройство свяжется с сервером Apple, который и выдаст (или не выдаст; об этом — ниже) разрешение на это действие.

В чем подвох? Их сразу несколько. Во‑первых, в программе корпоративной дистрибуции могут участвовать организации, но не частные лица. Во‑вторых, участие в программе платное. Наконец, мы не выходим из‑под контроля Apple; компания по‑прежнему сохраняет контроль над тем, разрешить ли запуск приложения на конкретном устройстве. Если Apple покажется, что выданный организации enterprise-сертификат используется с нарушением лицензионного соглашения, этот сертификат будет моментально отозван и подписать с его помощью вновь устанавливаемые приложения не удастся. Подобные сертификаты регулярно «утекают» и используются различными «альтернативными магазинами приложений» для подписи приложений.

Вариация на ту же тему — специальная дистрибуция для участников программы Apple для разработчиков. Ее основное предназначение — тестирование разработчиками программ собственного производства на своих же устройствах; соответственно, для ее использования нужна учетная запись разработчика (Apple Developer Account). В рамках специальной дистрибуции возможно пакетирование: одну и ту же сборку можно подписать сразу для сотни устройств.

У этого способа есть как несомненные преимущества, так и недостатки в сравнении с методом корпоративной дистрибуции.

В достоинства запишем в первую очередь то, что приложение просто устанавливается и запускается; нет необходимости подтверждать сертификат, как нет и необходимости каждый раз для установки приложения связываться с сервером Apple. Отсюда следует возможность установить приложение на iPhone, у которого отсутствует подключение к сети, — в полностью офлайновом режиме.

Второе достоинство метода — это его доступность для обычного пользователя. Всего 99 долларов в год — и ты можешь открыть собственную учетную запись разработчика, которая позволит тебе устанавливать любые приложения на устройства числом до ста штук!

Так, а это точно «достоинство»? 99 долларов в год — это немало всего лишь за право устанавливать собственные приложения на собственный iPhone, да и сто устройств — это за целый год: удаление ранее зарегистрированного устройства из учетной записи не высвобождает один из ста слотов.

Еще один недостаток официального способа — жесткая привязка дистрибуции к среде разработки Xcode, для работы которой, в свою очередь, потребуется компьютер с macOS. Получается сложновато и дороговато, если у тебя случайно нет Mac.

Наконец, последний недостаток метода — открыть учетную запись для разработчика частному лицу непросто из‑за рогаток, установленных Apple. Об использовании одноразовых Apple ID можно забыть: Apple верифицирует данные и может отказать в регистрации без объяснения причин. Наши разработчики говорят, что неплохие шансы получить аккаунт при использовании ненового Apple ID, в котором указан реальный адрес (тот же, к которому привязана платежная карта); регистрироваться лучше с мака, а наличие истории покупок с этой же учетной записи еще повышает шансы. Несмотря на это, гарантии того, что учетную запись в программе для разработчиков зарегистрируют, нет; отказывают обычно без указания причин.

На этом официальные способы заканчиваются и начинаются полуофициальные.

ПОЛУОФИЦИАЛЬНЫЙ ПУТЬ: CYDIA IMPACTOR

Полуофициальный способ — использование все той же официальной учетной записи для разработчиков, но для подписи пакета вместо Xcode будем использовать приложение Cydia Impactor. Чем это лучше Xcode? Во‑первых, проще. В Xcode нужно задавать массу полей, создавать профиль, экспортировать сертификат — квест достаточно запутанный даже для настоящих разработчиков. Cydia Impactor позволяет просто взять и залить приложение на iPhone, не требуя ничего, кроме логина и пароля от аккаунта разработчика.

Во‑вторых, в отличие от Xcode и многих альтернативных решений, Cydia Impactor доступен для множества платформ, включая macOS, Windows и Linux.

Недостаток один: требуется учетная запись Apple ID, зарегистрированная в программе Apple для разработчиков. Если такой аккаунт у тебя есть, то процедура достаточно проста, но к ней нужно подготовиться — создать в учетной записи Apple ID так называемый пароль приложения.

Итак, метод установки приложения с использованием аккаунта разработчика и Cydia Impactor:

Подключаем iPhone к компьютеру, устанавливаем доверенную связь (подтверждаем запрос «Trust this computer?» на iPhone и вводим код блокировки экрана).
Запускаем Cydia Impactor.
Бросаем на окно Cydia Impactor файл IPA устанавливаемого приложения.
Вводим логин и «пароль приложения» от Apple ID (обязательно зарегистрированного в программе Apple для разработчиков).
Если Apple ID зарегистрирован более чем в одной программе для разработчиков, выбираем нужную.
Подтверждаем запрос, и Cydia Impactor подпишет IPA и передаст его на устройство.
Все, приложением можно пользоваться!

Способ корректный. Однако хотелось бы того же самого, но с использованием обычного Apple ID. Как ни странно, это возможно, но с рядом ограничений.

ИДЕМ В СЕРУЮ ЗОНУ: ПОДПИСЬ ПАКЕТА ОБЫЧНЫМ APPLE ID

Итак, ты решил подписать пакет приложения обычным Apple ID, не зарегистрированным в программе Apple для разработчиков. До 2019 года эта опция была хоть и не широко известной, но вполне работоспособной с учетом некоторых ограничений: подписанное таким образом приложение работало только семь дней, а установить на одно устройство можно было не более трех подписанных персональными сертификатами приложений. Три года назад в Apple решили прикрыть этот способ установки, но сделали это не до конца. Оставшаяся лазейка, впрочем, работает только на компьютерах с macOS. Соответственно, если у тебя есть Mac, то ты можешь попробовать одно из следующих приложений.

Nullximpactor

Nullximpactor — фактически альтернатива Cydia Impactor, работающая только на macOS, но позволяющая использовать для подписи обычные учетные записи.

Разработчик @nullx рекомендует использовать для подписи одноразовые Apple ID без двухфакторной аутентификации. В противном случае тебе придется создать в своей учетной записи «пароль приложения».

Достоинства: после начальной настройки использовать достаточно просто.

Недостатки: только macOS; требуется начальная настройка AltDeploy (инструкция); остаются все ограничения персональной учетной записи (приложение будет работать не дольше семи дней, а установить можно не более трех приложений).

Nullximpactor

iOS App Signer

iOS App Signer — интересное решение, принципиально отличающееся от всех остальных программ подобного назначения. iOS App Signer использует для подписи приложений штатную среду разработки Xcode, обходя при этом требование учетной записи разработчика (впрочем, семидневное ограничение или ограничение на число установленных таким образом приложений разработчикам обойти не удалось).

Пользоваться iOS App Signer достаточно сложно, но на GitHub есть подробные инструкции.

Достоинства: оригинальный метод, не требующий установки AltDeploy.

Недостатки: только macOS; нужен Xcode; сложно настраивать; ограничения персональной учетной записи.

iOS App Signer

ALTDEPLOY И ALTSTORE

AltStore — интересный и распространенный способ для установки неофициальных приложений и эмуляторов на устройства с iOS без джейлбрейка. С инструкциями по установке можно ознакомиться на сайте проекта.

В сравнении с описанными ниже онлайновыми магазинами приложений AltStore действительно достойная альтернатива. Ты можешь лично проконтролировать происхождение пакета IPA, а подписан он будет твоим собственным персональным сертификатом, который Apple внезапно не аннулирует, как это часто происходит с сервисами типа IPWind и альтернативными магазинами приложений, описанными ниже.

Установка AltStore

Недостатков у этого решения тоже хватает. Во‑первых, все минусы персональных сертификатов: ограничение на число установленных приложений (не более трех) и время их работы (не более семи дней). Во‑вторых, необходимость установки и настройки как приложения iTunes с включенной синхронизацией через Wi-Fi, так и серверной части AltServer (которая будет использоваться, чтобы автоматически переподписывать установленные приложения каждые семь дней).

Стоят ли усилия того, чтобы установить на устройство до трех сторонних утилит? Здорово сомневаюсь. А вот совместно с учетной записью разработчика это уже вполне может иметь смысл для установки приложений, которых нет и не будет в официальном App Store.

AltDeploy — фактически форк решения AltStore. В отличие от AltStore, который устанавливается на само устройство с iOS, AltDeploy позволяет установить и подписать приложение непосредственно с компьютера. При этом требуется компьютер с macOS и традиционные для AltServer прыжки по кочкам. Подробные инструкции по установке — здесь.

AltDeploy

ПОДПИСЬ В РЕЖИМЕ ОНЛАЙН

Существуют бесплатные сервисы, позволяющие подписать пакет приложения в режиме онлайн, без связи устройства с компьютером. Пример такого сервиса — IPASign.

Сервис IPASign

Помимо собственно файла IPA, сервис просит предоставить сертификат p12 для подписи, пароль и файл provisioning. Сервис выдаст QR-код, отсканировав который на iPhone можно установить подписанный IPA без связи с компьютером. Если ты собираешься воспользоваться своим собственным сертификатом — дважды подумай, стоит ли доверять анонимному сервису. Впрочем, если к тебе в руки попал корпоративный сертификат из утечки и ты хочешь протестировать его работу — вопросов не возникает.

Как это реализовано? С большой вероятностью за кулисами спрятан компьютер с macOS и Xcode, к которому прикручен веб‑интерфейс. Детали реализации неизвестны.

IPAWind — еще один подобный сервис. Позволяет подписывать пакеты не только своим сертификатом, но и их собственным (такой сертификат может быть аннулирован в любой момент, зато твой аккаунт останется вне подозрений). Как бонус: возможность редактировать манифест, благодаря чему можно устанавливать дубликат приложения (например, иметь на iPhone два WhatsApp), а также включать опцию iTunes Sharing, которая сделает рабочие файлы приложения доступными через iTunes.

АЛЬТЕРНАТИВНЫЕ МАГАЗИНЫ ПРИЛОЖЕНИЙ

Выше были описаны штатные способы установить приложение на устройство; в худшем случае мы вступали на территорию «серой зоны». Способы, описанные далее, в явном виде нарушают политики Apple и в некоторых случаях могут нарушать права других правообладателей.

Первый такой вариант — сторонние магазины приложений. Все подобные решения характеризуются простотой установки и использования (открыл страницу магазина в Safari, нажал кнопку, получил на устройство альтернативный магазин приложений, подтвердил сертификат — и можно работать). Есть как платные, так и бесплатные варианты. Самые известные из них:

Ignition — специализируется на утилитах джейлбрейка, твиках и патченных приложениях;
TweakBox — содержит в каталоге утилиты, эмуляторы, джейлбрейки и многое другое (каталог);
iPASTORE — платный (подписка) сторонний магазин приложений.

Этими тремя список подобных сервисов не ограничивается. AppValley, CokernutX, Panda Helper, платный AppDB, TweakDoor, Emus4u, iPABox, Zestia… Не все пережили выход iOS 14, но многие продолжают работать и поныне.

Все эти магазины, включая платные сервисы, функционируют с нарушением политики Apple: нецелевое использование сертификатов разработчиков, использование «утекших» или специально купленных корпоративных сертификатов и соответствующих механизмов доставки. Apple регулярно блокирует такие сертификаты, но сервисы всегда находят замену и переподписывают как само приложение‑магазин, так и установленные с его помощью утилиты. Вот что пишет об этом сам сервис.

Какие риски возможны при использовании подобных сервисов? Отозванный Apple сертификат может привести к невозможности запустить установленное приложение. Техническая возможность модифицировать (патчить) приложения на стороне сервиса означает вероятность получить вместе с установленной программой неприятный «довесок», который (в случае старых версий iOS) может даже взломать устройство.

Пользоваться подобными магазинами или нет — решать тебе.

Для взломанных устройств доступно несколько магазинов приложений: Cydia, Sileo, Zebra, Installer 5. Какой из них выбрать? У разработчиков утилит для джейлбрейка, как правило, есть свой «любимый» магазин приложений, который и будет установлен на устройство после взлома. При этом ты всегда можешь параллельно установить дополнительный магазин приложений.

На взломанных устройствах нет ограничений, связанных с использованием персональных профилей. Можно устанавливать любое количество приложений; не будет и ограничений по времени работы.

TESTFLIGHT

TestFlight — это сервис тестирования iOS-приложений и одноименное приложение, которое пользователь может установить на свое устройство. С технической точки зрения TestFlight упрощает дистрибуцию тестовых сборок, облегчая процесс сбора кодов тестовых устройств (UDID) и позволяя распространять сборки среди зарегистрированных участников тестирования. До бесконечности тестовыми сборками пользоваться нельзя; рано или поздно сертификат истекает, и пользователю приходится или обновляться на официальную версию приложения, или устанавливать свежую тестовую сборку, которую предоставит разработчик.

Сервисом TestFlight могут воспользоваться как корпоративные, так и частные разработчики. В последнем случае будет ограничение на максимальное число участников бета‑тестирования — не более 100 UDID в год. Удаление UDID из программы не освобождает слот.

Некоторые разработчики пользуются этим сервисом для дистрибуции ПО, которое по тем или иным причинам не принимают в App Store. Самый известный пример такого приложения — Soap4me для платформы iOS, которое находится в состоянии перманентного бета‑тестирования. В принципе, вполне себе решение — но для обычного пользователя избыточно сложное.

ГДЕ ВЗЯТЬ ПАКЕТЫ ПРИЛОЖЕНИЙ?

Наверное, самый известный репозиторий пакетов IPA — iOS Ninja. С сайта можно скачать как сами пакеты приложений, так и образы прошивок Apple для ряда устройств (по прямым ссылкам с сайта Apple). Скачанные с сайта пакеты для установки на iPhone потребуется подписать одним из описанных выше способов.

ЗАКЛЮЧЕНИЕ

«Плати или страдай» — такой вывод можно сделать из этой статьи. Действительно, оплатив участие в программе для разработчиков, можно забыть о сомнительных (часто также небесплатных) сервисах и связанных с ними рисках. Впрочем, не факт, что в программе Apple для разработчиков вообще удастся зарегистрироваться; в последнее время это стало непросто. Бесплатная альтернатива — AltStore — требует серьезных усилий для установки и настройки, а также постоянной возни с переподписыванием установленных приложений, для автоматизации которой нужна постоянно работающая на компьютере серверная часть. Установка джейлбрейка — универсальное решение, лишающее, впрочем, одного из основных преимуществ iOS — доступа к регулярным обновлениям. Каким из этих способов воспользоваться и стоит ли овчинка выделки? Решать, как водится, тебе.

t.me/anon_chan_by

Хакер - Вкуриваем QR. Как сделать QR-код с сюрпризом

anon_channel — Tue, 09 Nov 2021 03:57:15 GMT

https://t.me/anon_chan_by

Содержание статьи

История вектора атаки
QRGen — каждому по коду
Возможные атаки
Практика
QRLJacker
Написание своих модулей
Угоняем сессию
Итоги

QR-код сейчас совершенно обыденная вещь — они встречаются повсюду, их используют как один из способов авторизации крупные сервисы вроде WhatsApp, Яндекса и AliExpress, встречаются QR-коды для подключения к Wi-Fi. Но насколько надежна эта технология? Можно ли создать такой QR-код, при сканировании которого выполнится нагрузка на девайсе жертвы? Этот вопрос мы сегодня разберем подробнее.

QR-код (англ. Quick Response Code — код быстрого реагирования) — это матричный или двумерный штрих-код, который может содержать до 4296 символов ASCII. То есть, проще говоря, картинка, в которой зашифрован текст.

История вектора атаки

В мае 2013 года специалисты компании по сетевой безопасности Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Исследователи сообщили в Google о данной уязвимости, и ее закрыли буквально за несколько недель. К счастью, исправить успели до того, как ее можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам.

В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплоит, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.

Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов.

Если содержимое не соответствует хотя бы одному из требований, то оно определяется как обычный текст, а не URI. Этот механизм блокирует атаки вроде javascript;alert("You have won 1000 dollars! Just Click The Open Browser Button");, но, внеся пару простых изменений в код, мы получаем вариант, который программа исполняла в браузере, ведь она считала JS-код обыкновенным, «нормальным» URI!

Вот как это выглядело.

Вариант кода, который блокировался защитным механизмом сканера

Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).
Еще один интересный пример из 2012 года: эксперт по информационной безопасности Равишанкар Боргаонкар (Ravishankar Borgaonkar) продемонстрировал, как сканирование простейшего QR может привести к форматированию устройств Samsung! Что же было внутри? MMI-код для сброса до заводских настроек: *2767*3855#, а также префикс tel: для совершения USSD-запроса.

Самое опасное здесь — что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности. Поэтому всегда будь внимателен!

WWW

Если у тебя нет сканера кодов, но уйма свободного времени — можно попробовать расшифровать код вручную. Инструкция есть на Хабре.

QRGen — каждому по коду

Для демонстрации средств работы с QR-кодами я буду использовать Kali Linux 2019.2 с установленным Python версии 3.7 — это необходимо для корректной работы утилит.

WARNING

Не забывай про уголовную ответственность за создание и распространение вредоносных программ, к которым в широком смысле относятся и наши «заряженные» QR-коды.

Начнем с утилиты QRGen, которая позволяет создавать QR-коды с закодированными в них скриптами. Копируем репозиторий и переходим в папку с содержимым.

git clone https://github.com/h0nus/QRGen
cd QRGen && ls

INFO

QRGen требует Python версии 3.6 и выше. Если возникает ошибка, попробуй обновить интерпретатор.

Устанавливаем все зависимости и запускаем сам скрипт.

pip3 install -r requirements.txt
## или python3 -m pip install -r requirements.txt
python3 qrgen.py

Видим справку.

Справка QRGen

Аргумент -h выведет то же самое, а вот запуск с ключом -l приведет к генерации QR-кодов из определенной категории. Всего их восемь.

SQL-инъекции.
XSS.
Инъекции команд.
QR с форматированной строкой.
XXE.
Фаззинг строк.
SSI-инъекции.
LFI или получение доступа к скрытым каталогам.

Возможные атаки

Теперь давай посмотрим на примеры из каждой категории, а также разберемся, какой урон и каким устройствам они могут нанести.

1. 0'XOR(if(now()=sysdate(),sleep(6),0))XOR'Z
2. 
8. ../../../../../../etc/passwd

Посмотреть текстовые файлы со всеми вариантами «начинки» QR-кодов ты можешь в папке words (они разделены по категориям, указанным выше).

Теперь пара слов о последствиях атак подобными нагрузками.

Первый класс атак — SQL-инъекции — используют при взломе БД и нарушении работы веб-сайтов. Например, запрос может вызывать зависание сайта.

Следующий пример (под номером 2) демонстрирует эксплуатацию XSS-уязвимости при атаке на веб-приложения с использованием SVG (Scalable Vector Graphic). К чему может привести XSS, ты, думаю, и без меня прекрасно знаешь, так что подробно на этом останавливаться не буду.

Третий пункт выводит на экран жертвы содержимое файла /etc/passwd: список аккаунтов Linux-based-систем и дополнительную информацию о них (раньше — хеши паролей этих учетных записей). В подобных случаях обычно стараются получить /etc/shadow и конфигурацию сервера, но все очень сильно зависит от цели, так что какие файлы читать — решай сам.

Четвертый пример представляет собой выражение, которое вызовет переполнение буфера (buffer overflow). Оно возникает, когда объем данных для записи или чтения больше, чем вмещает буфер, и способно вызвать аварийное завершение или зависание программы, ведущее к отказу в обслуживании (denial of service, DoS). Отдельные виды переполнений дают злоумышленнику возможность загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется, что делает эту ошибку довольно опасной.

Пятый по счету класс атак (XXE Injections) представляет собой вариант получения скрытой информации веб-сервера с помощью анализа вывода XML-файлов. Конкретно в нашем примере при запросе к серверу тот ответит зашифрованным в Base64 содержимым файла /etc/passwd, который уже упоминался. Однако расшифровать его не составит труда — достаточно лишь воспользоваться встроенной в большинство дистрибутивов Linux утилитой base64 либо же онлайн-конвертером.

Атаки форматной строки (пример 6) — это класс уязвимостей, который включает в себя предоставление «специфичных для языка маркеров формата» для выполнения произвольного кода или сбоя программы. Говоря человеческим языком, это класс атак, при которых приложение некорректно очищает пользовательский ввод от управляющих конструкций, из-за чего эти конструкции в результате исполняются. Если ты программировал на С, то, конечно, помнишь те интересности с выводом переменных через printf: надо было в первом аргументе (который строка) указать на тип выводимого значения (%d для десятичного числа и так далее).

Седьмой пункт представляет собой вариант command injection, которая выполняет определенный код на стороне сервера. В моем примере будет выполнена команда ls, которая покажет содержимое текущей директории, но, конечно, там может быть гораздо более опасный код.

И наконец, последняя категория — это LFI-уязвимости (Local File Inclusion; включение локальных файлов), позволяющие просмотреть на уязвимых (или неправильно настроенных) серверах файлы и папки, которые не должны были быть видны всем. Один из возможных вариантов — просмотреть файл /etc/passwd, о котором мы с тобой уже не раз говорили. Это может выглядеть вот так.

Обрати внимание, что в качестве тестового веб-приложения используется DVWA (Damn Vulnerable Web Application), который был специально разработан для обучения пентесту. Многие атаки на веб-приложения можно отработать на нем.

Практика

А сейчас перейдем к практике — протестируем эту утилиту сами.

Например, запустим ее с ключом -l 5:

python3 qrgen.py -l 5

Утилита сгенерировала 46 QR-кодов с полезными нагрузками. Все они лежат в папке genqr.

Каждый из них содержит вредоносный код, поэтому хоть я и приведу пример, но часть его будет вырезана.

Теперь можем запустить скрипт с флагом -w (напомню, он заставляет скрипт использовать кастомный словарь), но сначала нам нужен файл с нашими полезными (и не очень) нагрузками. Можем использовать готовые нагрузки из Metasploit (в Kali они находятся по пути /usr/share/metasploit-framework/modules/payloads) либо же создать новый текстовый документ и в него записать что-нибудь «плохое», например команду для удаления всех файлов на Linux-based-системе:

rm -rf /*

Итак, я назвал наш «вирус» clear.txt и запускаю QRGen (предварительно удалив или очистив папку genqr):

python3 qrgen.py -w /путь/до/clear.txt

Иногда может возникать ошибка, как на скриншоте ниже. Не пугайся, на работоспособность генератора кодов она не влияет.

Ошибка

Если ты перфекционист и хочешь ее исправить, то замени format(i-1) на format(i) в самом конце скрипта.

Теперь давай посмотрим на сам QR-код (естественно, с вырезанной частью) и отсканируем его на одном из онлайн-сервисов.

Как мы можем видеть из скриншота выше, наш текст был абсолютно верно перенесен в QR-код!

Эта утилита (и вектор атаки) направлена скорее на проверку незащищенного и непопулярного ПО либо же узкоспециализированных инструментов (вроде складских QR-сканеров, отправляющих SQL-запросы к базе данных компании). Большинство современных сканеров из соображений безопасности не выполняют находящийся в QR код. Соответственно, вариантов развития событий после сканирования два.

Сканер просто выводит содержимое нашего изображения (невыгодный для хакера вариант).
Сканер исполняет код, находящийся внутри изображения, либо же, используя пример, о котором мы говорили раньше, отправляет SQL-запрос к БД организации. Он и становится первым шагом к взлому базы данных компании. Естественно, глупо при таком раскладе рассчитывать, что распознанный текст будет выполнен как самостоятельный запрос, так что бери нагрузку вроде той, которую обычно используешь в веб-приложениях.

QRLJacker

Теперь переходим ко второму инструменту — QRLJacker. Он отчасти похож на QRGen, но представляет совершенно другой вектор атаки — QRLJacking.

SQRL (произносится как squirrel — белка, а расшифровывается как Secure, Quick, Reliable Login или Secure Quick Response Login) — открытый проект для безопасного входа на веб-сайт и аутентификации. При входе, естественно, используется QR-код, который обеспечивает проверку подлинности.

WWW

Официальная страница проекта

Как же выполняется вход при использовании данного способа аутентификации?

Пользователь посещает сайт и открывает сессию.
Сайт генерирует QR-код с ключом сессии. Этот код регулярно меняется в целях безопасности.
Пользователь сканирует QR-код.
Мобильное приложение генерирует аутентификационный сигнал, который содержит секретный токен (в него входят ID пользователя, код сессии, специальное сообщение, созданное с помощью приватного ключа пользователя).
Сайт получает сигнал и идентифицирует пользователя, производя вход (если, конечно, верификация завершена корректно).

Довольно долго метод SQRL считался действительно безопасным, пока Мохамед Бассет (Mohamed Basset) не предложил способ атаки на сервисы, использующие SQRL, который был назван QRLJacking. Способ требует создать фишинговую страницу и разместить на ней генерируемый через определенные промежутки времени QR-код. Давай рассмотрим его поподробнее.

Злоумышленник инициирует клиентскую QR-сессию и клонирует код QR-логина на фишинговую страницу.
Жертве отправляется ссылка на эту страницу. Выглядит страничка вполне безопасно.
Жертва сканирует поддельный QR-код, а приложение отправляет секретный токен, завершающий процесс аутентификации.
Злоумышленник получает подтверждение от сервиса и теперь может контролировать аккаунт жертвы.

Именно для реализации данного метода была создана утилита QRLJacker, о которой сейчас и пойдет речь.

Какие веб-ресурсы уязвимы перед подобным вектором атаки? По заверению разработчиков, это популярные мессенджеры вроде WhatsApp, WeChat, Discord, Line, все сервисы Яндекса (ведь для входа в любой из них требуется вход в Яндекс.Паспорт, который и предоставляет возможность аутентификации через QR), популярные торговые площадки Alibaba, AliExpress, Tmall и Taobao, сервис AliPay, а также приложение для удаленного доступа AirDroid. Само собой, список неполный, ведь все ресурсы, использующие SQRL, просто не перечесть.

Теперь давай установим утилиту QRLJacker (программа работает только на Linux и macOS, более подробную информацию можешь найти в README проекта, к тому же нам необходим Python 3.7+).

Заходим в систему от имени суперпользователя (root), иначе Firefox может выдать ошибку при запуске модулей фреймворка QRLJacker.
Обновляем Firefox до последней версии.
Скачиваем самый новый geckodriver с GitHub и распаковываем файл, затем выполняем команды

chmod +x geckodriver 
sudo mv -f geckodriver /usr/local/share/geckodriver 
sudo ln -s /usr/local/share/geckodriver /usr/local/bin/geckodriver 
sudo ln -s /usr/local/share/geckodriver /usr/bin/geckodriver

Клонируем репозиторий и переходим в папку с содержимым:

git clone https://github.com/OWASP/QRLJacking 
cd QRLJacking/QRLJacker && ls

Устанавливаем все зависимости:

python3.7 -m pip install -r requirements.txt

Запускаем фреймворк (с ключом --help для получения краткой справки):

python3.7 QrlJacker.py --help

При обычном запуске (без аргументов вовсе) ты увидишь примерно такую картинку.

Прописав команду help внутри фреймворка, ты получишь полную справку по командам QRLJacker.

Теперь давай запустим единственный (на данный момент) модуль — grabber/whatsapp. Список всех доступных модулей можем посмотреть командой list, выбрать модуль для использования — командой use. Команда options подскажет нам текущие значения опций, а set задаст то или иное значение опции. Команда run запустит наш модуль, а командой jobs мы можем просмотреть активные задачи.

Вдохновлено Metasploit

Порт 1337 стандартный для данного фреймворка, остальные опции я трогать не стал. HOST оставил локальным (0.0.0.0), но вывести его в сеть — не проблема. Это можно сделать, используя, например, ngrok:

ngrok http 1337

Параметр User-Agent также решил оставить дефолтным (по умолчанию), но всего там три варианта: стандартный, случайный и кастомный (ручная настройка). Используй вариант, который тебе больше всего подходит.

После чего запускаю модуль и смотрю текущие задачи. Там указан их ID, название модуля, а также адрес, на котором располагается страница модуля. По стандарту она выглядит так (QR-код частично замазан для защиты от ~~людей в погонах~~ злоупотреблений):

Изменить эту страницу можно, поправив по своему вкусу файл QRLJacker/core/templates/phishing_page.html.

Оригинальный исходник прост и незамысловат, что позволяет быстро изменить текст даже неподготовленному взломщику.

После внесения изменений в файле они будут автоматически применены в фреймворке.

Написание своих модулей

Давай обсудим, что необходимо для создания своего модуля для QRLJacker.

Документацию и инструкцию по созданию модулей ты можешь найти в репозитории проекта либо в папке, которую ты клонировал раньше (QRLJacker/docs/README.md). Модули-грабберы — основа фреймворка, и располагаются они в QRLJacker/core/modules/grabber. Когда ты добавляешь туда любой Python-файл, он появляется в фреймворке с тремя опциями — хост, порт и юзерагент.

Код модуля должен быть построен по такому шаблону:

## -*- coding: utf-8 -*-
from
 core.module_utils import types

class info:
    author = ""
    short_description = ""
    full_description = None

class execution:
    module_type= types.grabber
    name = ""
    url = ""
    image_xpath = ""
    img_reload_button = None
    change_identifier = ""
    session_type = "localStorage"

Например, модуль grabber/whatsapp сделан именно в этом формате, посмотреть его также можно в репозитории или открыв сам Python-файл, лежащий в QRJacker/core/modules/grabber/whatsapp.py.

Теперь давай разберемся, что означает каждая из переменных, которые мы задаем на этих строках.

Класс info

Тут твое имя (или никнейм), которое появится при вызове справки модуля, краткое описание модуля и его полное описание (можно заполнять, можно оставить значение None). Больше ничего интересного в классе info нет, но прежде, чем мы перейдем к следующему (execution), давай посмотрим вызов справки (которая будет черпать информацию из кода) на примере модуля WhatsApp. Вот код info:

class info:
    author            = "Karim Shoair (D4Vinci)"
    short_description = "Whatsapp QR-sessions grabber and controller"
    full_description  = None

А вот справка по модулю.

$ info grabber/whatsapp

Module : grabber/whatsapp

Provided by : Karim Shoair (D4Vinci)

Description : Whatsapp QR-sessions grabber and controller

Класс execution

Тут возни уже побольше: нужно не только название модуля, но и URL сайта, откуда будет браться QR-код и где будет производиться авторизация. Также нужен XPATH изображения с QR-кодом на странице. Чтобы понять, что это, опять обратимся к примеру в виде модуля WhatsApp. Там данный параметр выглядит как /html/body/div[1]/div/div/div[2]/div[1]/div/div[2], то есть путь до объекта внутри HTML-документа.

Далее нужен XPATH кнопки, которая обновляет QR-код на странице (если таковая имеется, в противном случае оставь значение None). Для большей конспирации используется XPATH элемента, который исчезает после получения сессии. Например, разработчики QRLJacker в модуле grabber/whatsapp использовали чекбокс «Запомнить меня».

И напоследок нужна переменная, которая принимает значения localStorage или Cookies. Она должна соответствовать способу, с помощью которого на веб-сайте определяется пользовательская сессия.

Вот и все — после того как разберешься со всеми этими пунктами, тебе останется лишь добавить файл в папку с граббер-модулями и создать HTML-файл (index.html) со страницей в core/www/твое_имя_модуля.

Готово! Ты создал свой модуль.

Угоняем сессию

А теперь бегло посмотрим, как можно использовать этот фреймворк для атаки QRLJacking. Например, злоумышленник может скопировать оригинальный сайт web.whatsapp.com и вставить туда фальшивый QR-код для получения доступа к сессии. Или пример, который приводит сам создатель утилиты QRLJacker.

Это плагин, который, если зайти на популярный зарубежный сайт Amazon, выдаст тематическое уведомление о «получении подарка от WhatsApp в честь Дня святого Валентина» (обрати внимание на правый верхний угол). Естественно, чтобы получить подарок, нужно отсканировать QR-код, что не даст тебе ничего, кроме утечки личных данных. Будь очень бдителен, ведь, как я и показал раньше, этот вектор атаки и утилиты для его использования находятся в открытом доступе, а написать модуль для QRLJacker — задача, посильная даже начинающему питонисту.

Итоги

Как ты (теперь) знаешь, даже использование QR-кода для логина больше нельзя считать безопасной практикой. Любой школьник с пачкой убедительно написанных писем может заманить на вполне настоящий сайт и угнать твой WhatsApp. Надеюсь, этот небольшой обзор отучит тебя бездумно сканировать каждый попавшийся на глаза код.

https://t.me/anon_chan_by

Хакер - Картинки с секретами. Тестируем восемь утилит для сокрытия данных

anon_channel — Sun, 07 Nov 2021 11:05:19 GMT

https://t.me/anon_chan_by

Если ты думаешь, что в фотках с котиками не может скрываться ничего постороннего, — спешу тебя разочаровать (или, наоборот, порадовать!). Сейчас я покажу, как внедрить в картинку, архив или песню любую постороннюю информацию, да так, чтобы ее никто там не заметил. Интересно? Погнали!

О принципах стеганографии мы уже не раз писали — смотри, к примеру, статью «Прячем файлы в картинках: семь стеганографических утилит для Window s». Однако в ней перечислены далеко не все утилиты и прицел сделан на Windows. Сегодня мы рассмотрим восемь альтернативных утилит, в основном — кросс‑платформенные.

CLOAKIFY

Платформа: любая
Где скачивать: GitHub

CloakifyFactory — это большая и легко расширяемая программа, которая использует скрипты Cloakify Toolset. Особенность ее в том, что перед маскировкой нагрузки она кодируется в Base64.

У программы есть огромный плюс — она умеет маскировать что угодно не просто в картинках, а еще и в видео, музыке и даже программах, хоть и с последними получается плохо — выходной файл сильно раздувается.

Работает Cloakify на Python 2.7, который уже морально и физически устарел, а использование Base64 для скрытия информации от невооруженного глаза приводит к сильному увеличению размера, не давая никакого заметного преимущества.

Для примера давай обычный текстовый документ внедрим в картинку формата JPEG. Мой исходный файл называется save.txt и лежит в одной директории с самой программой. Внедрение файла крайне простое и выглядит примерно так.

Пропускаем функцию добавления шумов. Для нас они погоды не сделают, но, если ты хочешь дополнительно замаскировать информацию, могут помочь.

Как ты уже мог догадаться, этот софт для сокрытия действительно секретной информации применять стремно. Но есть и плюсы, вроде простоты работы и того, что выходных форматов чуть более чем куча.

STEGHIDE

Платформа: любая
Где скачивать: GitHub

Steghide — консольная утилита, написанная на C++. Скрывает информацию в стандартных файлах форматов JPEG, BMP, WAV и AU. В арсенале программы полно шифров — даже Blowfish, которого я у других не замечал. Теоретически использование такой экзотики может помочь запутать следы еще сильнее.

Steghide умеет не просто упаковывать данные в картинку или трек, а еще и шифровать секретную нагрузку.

Но есть и минус: не все фотографии и аудиофайлы подойдут для внедрения в них секретной нагрузки. Если файл слишком маленький — внедрить в него ничего нельзя.

Давай попробуем объединить картинку cats.jpg и секретный файлик save.txt.

Открываем терминал и пишем:

steghide embed -cf cats.jpg -ef save.txt

--embedfile [-ef] — файл, который мы будем встраивать;
--coverfile [-cf] — файл‑обложка, в который внедряется секретная инфа;
--compress [-z] — сжимать данные перед упаковкой;
--encryption [-e] — шифровать внедряемые данные.

Распаковка так же проста, как упаковка:

steghide extract -sf cats.jpg

Ключ --stegofile [-sf] позволяет выбрать файл со скрытой информацией, а --passphrase [-p] указывает пароль.

Вот что получилось

Из‑за применения сжатия разница размеров до и после внедрения минимальна.

Мне понравилась возможность ставить пароли и сжимать данные. Однозначно хорошая штука, которую можно использовать в любительских целях. К тому же можно создать цепочку из объектов, которые будут спрятаны друг в друге. А минус только в том, что не всякое изображение подходит для этой манипуляции, но мы же живем в XXI веке, и найти новую фотку вообще не вопрос, правда?

SPECTROLOGY

Платформа: любая
Где скачивать: GitHub

Название программы Spectrology говорит само за себя — она позволяет превращать изображения в аудиодорожки с «заряженными» спектрограммами, из которых потом можно достать картинки. Звучит круто, но без проблем не обошлось.

Перед первым запуском нужно поставить модуль pillow.

python3 -m pip install --upgrade pip

python3 -m pip install --upgrade Pillow

Сразу бросается в глаза второй огромный минус — крайне медленная работа. Хоть он и с лихвой перекрывается плюсами в виде необычного алгоритма работы и переносимости (написана на Python).

Давай запакуем изображение BMP в файл WAV. Делается это так:

python spectrology.py your_filename.bmp -o music.wav

--output [-o] — флаг, отвечающий за название выходного аудиофайла;
--botton [-b] задает нижний частотный диапазон;
--pixels [-p] позволяет установить количество пикселей в секунду;
--sampling [-s] ставит частоту дискретизации.

Давай посмотрим, какого размера будет готовый аудиофайл.

В целом работает медленно и из коробки даже не запускается — приходится недостающие модули ставить вручную. Не производит впечатления хорошо проработанного инструмента, хотя задумка, безусловно, классная.

IMAGESPYER G2

Платформа: Windows
Где скачивать: где получится

Это одна из древних утилит, когда‑то написанных Александром Мясниковым и ныне встречающаяся лишь на просторах файлопомоек. Официальный сайт у нее если когда‑то и был, то давно не работает. Тем не менее программа заслуживает внимания.

ImageSpyer прячет секретные файлы только в картинки и даже разрешает ставить пароль, чтобы зашифровать данные перед внедрением. Программа поддерживает около 30 алгоритмов шифрования внедряемой информации и 25 хеш‑функций для подписи, чтобы убедиться, что встроенный в картинку файл не побился при передаче.

Большой плюс — наличие графического интерфейса с понятными пояснениями и множеством настроек. Выходных форматов всего два: BMP и TIFF.

Посмотрим, насколько сильно увеличился объем фотографии.

Слева — после обработки, справа — до

Как видишь, из маленького котика размером 59,6 Кбайт мы сделали толстого кота на целых 1530 Кбайт. Результат неплохой, да и работает ImageSpyer быстро, так что смело рекомендуем к использованию.

REDJPEG

Платформа: Windows
Где скачивать: где получится

Еще один стегозавр авторства Александра Мясникова. На этот раз — с собственным алгоритмом внедрения изображения в картинки, сжатием LZMA и оформлением для ностальгирующих по СССР.

Вождь читает инструкцию

Настройки

А что у нас по объему после запаковки текста в картинку?

Впечатления исключительно позитивные. Программа позволяет хорошо спрятать и зашифровать любую нужную информацию. Подходит для постоянного использования.

OPENSTEGO

Платформа: любая
Где скачивать: GitHub

Проект OpenStego реализован на Java, имеет поддержку шифрования AES и крайне популярен среди желающих познакомиться со стеганографией. Поддерживает плагины, чтобы ты сам смог реализовать какой‑нибудь стеганографический алгоритм. Есть версии и для Windows, и для Linux.

Как и ImageSpyer, OpenStego значительно раздувает размеры файла, хоть и не настолько сильно. Поддерживается также всего один способ упаковки, но это легко поправить плагинами. Выходные файлы могут быть только в формате PNG, но это нельзя назвать совсем уж большим минусом, тем более что на вход можно подавать почти любой формат.

Есть и интересная функция, которой я не нашел у конкурентов, — Digital Watermarking. Она позволяет тайком пометить фотографию, чтобы легко найти вора. Для этого программа внедряет в картинку незаметный идентификатор, который в дальнейшем можно будет достать и проверить, кто взял картинку без спроса.

Программа не требует установки, а запускается батником.

Сравнение

Файл на выходе получился куда толще, чем был, — размер увеличился почти на 800 Кбайт.

По сравнению с ImageSpyer OpenStego все же более богат фичами, что мне понравилось.

SILENTEYE

Платформа: любая
Где скачивать: сайт на GitHub

SilentEye — кросс‑платформенный софт с простым интерфейсом. Обладает множеством плагинов и приятным GUI. Использует современные алгоритмы стеганографии и маскировки.

Из очевидных преимуществ отмечу ввод маскируемого текста прямо в окне программы вместо загрузки текстовых файлов из стороннего редактора. Серьезно, фича простая, а никто до этого не додумался. Форматы выходных файлов картинок — BMP, JPEG, PNG, GIF, TIFF, звука — только WAV.

Можно настроить качество выходного изображения — оно определяет, сколько потерь будет при кодировании в JPEG.

Для шифрования внедренных данных применяется AES, но настроек куда больше, чем у OpenStego.

При проверке увеличения объема пришлось использовать другую картинку в качестве исходной, но видно, что объем почти не изменился, то есть программа работает эффективно.

Размер файла с картинкой увеличился всего на 13,5 Кбайт — очень хороший результат!

Утилита может спокойно заменить старичка OpenStego. Работает она чуть медленнее конкурентов, но зачастую это некритично. Тоже рекомендую.

IMAGEJS

Платформа: Linux
Где скачивать: GitHub

ImageJS предназначена не совсем для сокрытия информации от людей. Вместо этого она помогает обманывать браузеры, которые совершенно обоснованно предполагают, что в валидных картинках ничего постороннего быть не должно.

ImageJS позволяет создать картинки, которые одновременно представляют собой настоящие JS-скрипты. Это нужно, чтобы упростить проведение более опасных XSS-атак, в которых иногда требуется подгрузить скрипт именно с атакованного домена. Вот тут на помощь приходит возможность загрузить туда аватарку, которая одновременно содержит JavaScript payload для дальнейшей атаки. Программа поддерживает внедрение в форматы BMP, GIF, WEBP, PNG и PDF.

Для сборки нужны пакеты build-esential и cmake. Дальше все просто:

$ git clone https://github.com/jklmnn/imagejs.git

$ cd imagejs

$ mkdir build

$ cd build

$ cmake ..

$ make

Давай создадим script.js со следующим кодом, а потом упакуем его в image.gif:

alert("Hello, Xakep!");

./imagejs gif script.js -i image.gif

На выходе будет файл с двойным расширением, но это не беда.

Сейчас мы проверим все в деле! Создавай HTML-страничку со следующим кодом и сохраняй ее рядом с нашей заряженной картинкой.

Knock, Knock, Neo

Сохраняем и открываем. Должно получиться как на скриншоте.

Размер картинки почти не меняется, что нам очень на руку.

Программа шикарна, хоть и применима только в очень специфичных целях.

ВЫВОДЫ

Заменить кросс‑платформенный и богатый фичами OpenStego сложно, но при желании можно. SilentEye будет неплохим выбором, но и утилитки Александра Мясникова тоже рекомендую попробовать, если у тебя Windows. Если же ты фанат консоли или мастеришь какую‑то автоматизированную систему, то тебе может пригодиться один из вариантов, написанных на Pyhton.

В таблице я свел воедино информацию об упомянутых программах и протестировал стеганографирование в картинки текстового файла размером 1,07 Кбайт.

https://t.me/anon_chan_by

Прячем файлы в картинках: семь стеганографических утилит для Windows

anon_channel — Sun, 07 Nov 2021 10:52:04 GMT

23.01.2017

https://t.me/anon_chan_by

Содержание статьи

От фараонов до наших дней
Anubis
DeEgger Embedder
DeepSound
Hallucinate
JHide
OpenPuff
OpenStego
RARJPEG
Выводы

Шифрование помогает сохранять данные в секрете, но одновременно привлекает лишнее внимание. Если файл так просто не открыть, значит, в нем наверняка есть что-то ценное. Поэтому бывает важно скрыть само наличие секретной информации. Проще всего это сделать, растворив конфиденциальные данные внутри какого-нибудь безобидного файла. Решается такая задача с помощью стеганографических утилит, которые мы и протестируем.

От фараонов до наших дней

Если считать, что история развивается по спирали, то современная жизнь, похоже, вышла на тот же виток, что и Древний Египет. Люди снова поклоняются кошкам и хранят их изображения повсюду. Параллельно возрождается культ тайного знания — одни прячут информацию, другие ищут способы получить ее. Так что идеальный способ скрыть секретные данные — это смешать их с тривиальным контентом вроде фотографий кошек.

По одной из версий, криптография зародилась как раз в Древнем Египте. Ее дочка — стеганография, или «тайнопись», появилась уже ближе к расцвету Римской империи. Отдельные приемы тайного письма практиковались еще до нашей эры, но в самостоятельную прикладную дисциплину стеганография оформилась лишь к XVI веку.

Современная стеганография — цифровая и компьютерная. Последнюю можно разделить на три больших направления. Первое — это собственно тайнопись, или методы сокрытия одних файлов (которые принято называть сообщением) внутри других («контейнера»). После заполнения сообщением контейнер внешне меняется незаметно и полностью сохраняет свою функциональность.

Второе направление изучает методы добавления к сообщению скрытых или стеганографических меток (stegomarks). Это незаметные без специальной обработки метки, идентичные для всех файлов одного человека или устройства. Например, такие стегометки записываются в цифровые фотографии для того, чтобы можно было доказать их авторство. Крэкеры иногда оставляют стегометки в лицензионных ключах. Они зашиты на уровне алгоритма генерации, а потому сохраняются при попытке изменить интерфейс кейгена и выдать его за свой.

Третье направление — внедрение в сообщение цифровых отпечатков (digital fingerprints). В отличие от стегометок, эти скрытые знаки уникальны для каждого сообщения. Они служат в основном для защиты интересов правообладателей, позволяя отследить распространение контента. К примеру, многие интернет-магазины внедряют цифровые отпечатки в продаваемые книги и музыкальные композиции. В них кодируется информация о дате продажи и аккаунте купившего (имя, IP-адрес и прочее). Если купленные файлы позже появятся среди торрентов или на файлообменниках, то правообладатели смогут установить распространителя нелегального контента. Для этого будет достаточно считать из контрафактного файла вкрапленный цифровой отпечаток.

Использует ли твой любимый онлайновый сервис стегометки? Это легко проверить. Достаточно купить два экземпляра одного и того же произведения с разных аккаунтов и сделать побайтное сравнение файлов. Разница между ними и покажет скрытые метки. Если же файлы скачались идентичные (и их хеши полностью совпадают), то стегометок внутри нет.

О каждом из этих направлений написано множество книг и статей, но до сих пор нет единой терминологии. Одни авторы дробят перечисленные ветви на десятки более мелких, а другие не видят принципиальной разницы и между крупными. Для кого-то есть тонкая грань между скрытым хранением и скрытой передачей данных, а для других это лишь частности.

Не будем вдаваться в полемику, гораздо интереснее попробовать стеганографию в деле. Для начала рассмотрим поближе ее основное применение — сокрытие данных. Из полусотни утилит для маскировки одних файлов внутри других мы отобрали всего семь. В обзор вошли только те, которые гарантированно работают в Windows 10.

Для теста мы возьмем картинку с обоями для рабочего стола. За этой растительностью можно уместить много интересного.

Anubis

https://sourceforge.net/projects/anubisstegano/files/latest/download

Анубис — супергерой древних египтян. Человек-шакал, в честь которого спустя шесть тысяч лет назвали бесплатную программу. Ее первая и, к сожалению, последняя версия была написана в 2014 году на Java. Поэтому утилита получилась кросс-платформенной, но требующей установки JRE, а также (в случае с Windows 10) виртуальной машины DOS — NTVDM.

Принести Анубису Джаву!

Другие статьи в выпуске:

Xakep #215. Второй фактор

Основное окно программы выглядит максимально аскетично. Нажимаем Encrypt и в открывающейся вкладке указываем необходимые действия: какой файл поместить внутрь какого и где сохранить результат. Гарантированно работает только сокрытие текстовых файлов внутри картинок формата BMP. Несколько таких уже есть в Windows 10 — это иконки пользователей. Было бы занятно спрятать в user.bmp список паролей или еще какую-нибудь конфиденциальную инфу. Давно подмечено, что лучшие тайники стоят на видном месте.

Прячем TXT в BMP

Дополнительно можно защитить полученный файл пин-кодом — тогда он потребуется для обратного преобразования. Утилита некорректно обрабатывает строку с указанием места результирующего файла. Он может быть сохранен на уровень выше заданного или вообще в исходном каталоге.

Сравнение пустого и наполненного контейнера

Как видно из побайтного сравнения исходного файла BMP с содержащим скрытый текст, программа работает очень примитивно. Она просто дописывает данные в конец файла. Данные зашифрованы, но снабжены характерными указателями: limiter1, limiter2, inserted length begins. Простым поиском файлов, содержащих такие строки, легко найти все стегоконтейнеры. Такую утилиту можно использовать в качестве иллюстрации простейшего метода стеганографии, но для серьезных задач она совершенно не подходит.

DeEgger Embedder

http://www.softpedia.com/get/Security/Encrypting/DeEgger-Embedder.shtml#download

DeEgger Embedder — еще одна маленькая программа для стеганографии. В ней реализован уже больший набор функций, но его использование требует установки .NET Framework 3.5. Помимо редко используемых сегодня картинок BMP, программа поддерживает в качестве контейнеров PNG, JPG, видеофайлы AVI и музыкальные MP3. Утилита ведет подробный лог своих действий, который отображается прямо в главном окне.

Делаем пасхальные яйца!

Кнопка запуска алгоритма называется Combine, а не Encrypt, что более точно отражает процесс внедрения файлов. Извлекаются скрываемые файлы (стегосообщения) из мультимедийных контейнеров нажатием единственной кнопки Extract. Никакой защиты пин-кодом здесь нет.

Комбайн и экстракт

Зато программа может обрабатывать несколько файлов сразу. Можно поместить несколько сообщений в один контейнер или одно в разные контейнеры.

Записываем несколько файлов в один контейнер

После обработки в DeEgger утилиты для сравнения изображений считают идентичными исходный и конечный файлы BMP. Реально же это пустой и заполненный контейнер в терминологии стеганографии.

Мнимая идентичность

Сделаем побайтное сравнение. Знакомая картина? Так же как и Anubis, утилита DeEgger Embedder дописала стегосообщение в конец файла-контейнера. В картинке user.bmp много однотонных областей, поэтому такой аппендикс выглядит особенно заметно.

Те же пасхальные яйца, вид в коде

На первый взгляд, здесь нет явных указателей, по которым можно сделать поиск файлов, содержащих определенную строку. Однако приглядимся внимательнее. Для этого сделаем еще один контейнер с другим сообщением и сравним уже два заполненных контейнера между собой.

Находим указатель внедренного файла

Вот одинаковый участок в шестнадцатеричном виде: 24 23 26 29 2A 40 26 28 23 5E 2A 00 D1 8B 87 8B FF.

Как видишь, несмотря на поддержку большего числа форматов, DeEgger недалеко ушел от Anubis. Скрываемые файлы так же записываются в конец файла-контейнера и имеют характерный вид, по которому их легко обнаружить.

DeepSound

http://jpinsoft.net/DeepSound/Overview.aspx

Последняя версия этой программы вышла в ноябре 2015 года. В отличие от предыдущих утилит в этом обзоре, она прячет данные внутри звуковых файлов. В качестве контейнеров DeepSound может использовать WAV (только несжатый, PCM), а также MP3, CDA, WMA, APE и FLAC. DeepSound умеет внедрять файлы любого типа и автоматически рассчитывает доступное для них место в зависимости от размера контейнера и настроек качества аудио.

При использовании MP3 доступное место для стегосообщения показывается больше самого контейнера, но это иллюзия. Независимо от исходного формата файла новый контейнер создается только в одном из несжатых форматов: WAV, APE или FLAC. Поэтому размер первоначального контейнера значения не имеет. В итоге сообщение будет занимать какой-то процент от объема нового (несжатого) аудиофайла.

Большой объем для любых файлов

Программа может просто поместить любой файл внутри музыкального, или предварительно зашифровать его по алгоритму AES с длиной ключа 256 бит. Опытным путем было установлено, что предельная длина пароля — всего 32 символа. Мои обычные пароли были длиннее и приводили к ошибке (an unhandled exception).

Шифрование AES

В один контейнер можно поместить любое количество файлов, пока не заполнится счетчик свободного места. Его количество зависит от степени качества (то есть вносимых в аудиофайл искажений). Всего доступны три настройки: высокое, обычное и низкое качество. Каждая из них увеличивает полезный объем контейнера вдвое. Однако рекомендую не жадничать и всегда использовать максимальное качество — так сложнее будет обнаружить скрытый файл.

Извлекается стегосообщение после выбора соответствующего контейнера вручную. Если использовалось шифрование, то без ввода пароля программа не покажет даже название скрытого файла. Кириллические символы в названиях файлов не поддерживаются. При извлечении они заменяются на XXXX, однако на содержимое файла это никак не влияет.

DeepSound умеет конвертировать MP3 и CDA, поэтому мы легко можем преобразовать исходный файл из MP3 в WAV и сравнить два контейнера: пустой и заполненный.

PDF размазан внутри WAV

Здесь нас ждет приятный сюрприз: размеры файлов идентичны, а их содержимое различается сразу после заголовка. Байты отличаются почти везде через один, причем на малые значения. Скорее всего, перед нами реализация алгоритма LSB (Least Significant Bit — наименьший значащий бит). Суть его в том, что скрываемый файл кодируется как изменения младших битов в отдельных байтах контейнера. Это приводит к небольшим искажениям (изменению оттенка пикселя в BMP и частоты звука в WAV), которые человек обычно не воспринимает. Чем больше контейнер по отношению к скрываемому файлу, тем меньше вероятность обнаружить последний. Такой алгоритм не оставляет явных указателей на наличие внедренного файла. Предположить его наличие может только статистический анализ шумов (акустических, яркостных, цветовых и прочих), но это уже совсем другой уровень стегоанализа.

DeepSound уже вполне годится для сокрытия важной информации (кроме гостайны, разумеется). Можно применять и встроенное шифрование, но, насколько качественно оно реализовано, никто не знает, потому что открытого аудита у программы не было. Поэтому надежнее будет предварительно поместить секретные файлы в какой-нибудь надежный криптоконтейнер (например, TrueCrypt или VeraCrypt), а затем уже прятать его внутри аудиофайла. Если ты будешь использовать в качестве контейнеров уникальные аудиофайлы (например, собственные записи), то побайтно сравнить их будет не с чем и твою «матрешку» вряд ли кто-нибудь сможет найти. Просто запиши в тот же каталог несколько гигабайтов теплого несжатого звука для лучшей маскировки.

Hallucinate

http://sourceforge.net/projects/hallucinate/

Последняя версия программы Hallucinate (v. 1.2) вышла в ноябре 2015 года. Эта компактная (всего 34 Кбайт) утилита написана на Java и не требует установки. В качестве контейнера она поддерживает форматы BMP и PNG, что делает ее гораздо удобнее Anubis. Картинки PNG используются сегодня куда чаще, чем BMP. Их полно даже во временных каталогах браузера, поэтому лежать одиноким и очень заметным файлом на диске такой контейнер точно не будет.

Галлюцинации со смыслом

Интерфейс у Hallucinate прост и функционален. Требуется выбрать контейнер, указать скрываемый в нем файл и желаемую степень качества итоговой картинки. Доступны восемь вариантов. Чем сильнее огрубляется исходное изображение, тем больше в нем можно спрятать, но тем заметнее становятся артефакты. Выберем в настройках лучшее качество и проиллюстрируем эту разницу, повторив операцию с файлом BMP.

Видишь отличия? А они есть!

Визуально картинки слева и справа не отличаются. Однако программа Beyond Compare показывает разницу между ними в кадре по центру. Текстовый файл закодирован как изменения яркости отдельных пикселей, равномерно распределенных по всему кадру. Только в самых темных и самых светлых участках они кучкуются плотно.

При побайтном сравнении файлов эта же разница в шестнадцатеричном формате выглядит знакомо: тот же алгоритм LSB, что и у DeepSound. Графический файл или звуковой — в данном случае значения не имеет. В оба формата вносятся минимальные искажения, неразличимые без специальных методов сравнения. Обнаружить их без исходного файла (имея на руках только контейнер) довольно сложно. Никаких явных указателей на внедрение стегосообщения он не содержит. Выдает скрытый файл только частотный анализ, но хорошо работает этот метод только для обнаружения крупных «матрешек». Мелкий файл в большой картинке остается практически незаметным.

Извлекается скрытый файл буквально в два клика. Достаточно выбрать контейнер (HAL-file в терминологии автора программы), нажать Decode и указать место для сохранения файла.

Раздеваем матрешку

JHide

https://sourceforge.net/projects/jhideapp/

JHide (не путать с джихадом) — еще одна подобная программа на Java. Компактной ее не назовешь, она занимает почти три мегабайта. Однако в отличие от Hallucinate, помимо BMP и PNG, она поддерживает TIFF, а также позволяет использовать защиту паролем.

Интерфейс jHide

Сравнение утилитой Beyond Compare показывает едва различимые отличия. В первую секунду их не видно вообще. Надо прибавить яркости и присмотреться, чтобы разглядеть на черном фоне равномерно рассеянные темно-синие точки.

Результат работы jHide

Сравнение в hex-кодах показывает все тот же алгоритм LSB, однако его реализация здесь более удачная. Измененные пиксели не группируются крупными блоками от начала файла, а равномерно рассеяны по всему контейнеру. Так гораздо сложнее обнаружить скрытое сообщение в картинке. При малом размере стегосообщения это практически невозможно сделать, не имея для сравнения оригинал (пустой контейнер).

Правильный LSB

Программа сама пытается максимально сжать скрываемый файл перед его помещением в контейнер. Поэтому извлекается он всегда в формате ZIP, а спрятанный файл находится уже внутри этого архива. Парольную защиту необходимо деактивировать перед распаковкой вручную — jHide сама не покажет, надо ли его вводить. Это тоже плюс, поскольку исключает возможность использования утилиты для проверки изображений на наличие в них скрытых файлов.

Распаковка контейнера в jHide

Утилита иногда игнорирует вводимое имя файла и извлекает его с шаблонным именем stego_%name%.bmp, однако эту недоработку можно и простить. Содержимое файла считывается ей без искажений.

OpenPuff

http://download.cnet.com/windows/openpuff-team/3260-20_4-10146585-1.html

Самая сложная утилита в этом обзоре — OpenPuff. Ее последняя версия (4.00) поддерживает не только сокрытие одних файлов внутри других, но и работу со стегометками произвольного формата. Ей даже можно выделить несколько процессорных ядер, если предстоит большой объем работы.

Основное окно OpenPuff

В отличие от других утилит, поддерживающих парольную защиту скрываемого сообщения, OpenPuff умеет использовать для шифрования криптографически стойкий генератор псевдослучайных чисел (CSPRNG — Cryptographically secure pseudorandom number generator). Если простого пароля недостаточно, то поставь флажки напротив полей B и C, а затем введи в них три разных пароля длиной от 8 до 32 символов. На их основе CSPRNG сгенерирует уникальный ключ, которым и будет зашифровано сообщение.

Использование CSPRNG

Мелкие файлы можно хранить в картинках и аудиозаписях, а крупные (например, криптоконтейнеры) удобнее прятать в видеозаписях — OpenPuff поддерживает MP4, MPG, VOB и множество других форматов. Максимальный размер скрываемого файла — 256 Мбайт.

Результат работы OpenPuff

Применение CSPRNG на малых файлах сильно увеличивает итоговый размер стегосообщения. Поэтому разница между пустым и заполненным контейнером становится слишком очевидной. Мы снова видим, что измененные пиксели в основном распределяются равномерно, однако на самых светлых и самых темных участках они образуют крупные блоки. Если бы таких блоков не было, результат был бы больше похож на артефакты, получаемые при сжатии при помощи JPEG.

Побайтное сравнение тоже дает очень характерную картину. Несмотря на малый размер скрываемого файла, в контейнере изменены значения у большинства пикселей. Если jHide хватило 330 байт для записи стегосообщения, то OpenPuff использовал для этой же задачи более 170 Кбайт.

Изменения затронули большинство пикселей

С одной стороны, это плюс: нет прямой корреляции между размером сообщения и числом измененных пикселей. Анализ такого контейнера существенно усложняется. С другой стороны, на создание контейнера приходится затратить дополнительные усилия, что может оттолкнуть неискушенного пользователя.

Другой режим работы программы — запись и чтение стегометок. Это скрытые строки длиной до 32 символов, которые можно использовать для защиты авторского права. Например, спрятать копирайт в фотографии, музыкальном файле или документе.

Работает эта функция исключительно просто. Пишешь произвольную стегометку в верхней части окна и указываешь ниже файлы, в которые ее надо добавить. Исходные файлы останутся нетронутыми, а их копии с меткой сохранятся в указанном тобой каталоге.

Работа со стегометками в OpenPuff

При возникновении любых правовых споров просто запускаешь OpenPuff и показываешь изумленному оппоненту ранее внедренную метку.

Даже лягушка может сказать, кто ее сфотографировал

Сложности возникают в том случае, если файл подвергался модификации. Даже простое конвертирование в другой формат стирает стегометку. Не удается ее считать и в том случае, если файл был снова приведен к исходному формату. Стойкие стегометки существуют, но внедрять их умеют только отдельные программы. Как правило, они привязаны к какому-то конкретному оборудованию (например, модели камеры).

Стегометка испарилась после конвертации файла

OpenStego

http://www.openstego.com/

Последняя версия OpenStego (0.61) вышла в 2014 году. Программа работает в Windows и Linux. Она поддерживает BMP, PNG, JPG, GIF и WBMP. Заполненный контейнер всегда сохраняется в формате PNG.

OpenStego занимает всего 203 Кбайт, но после знакомства с Hallucinate это уже не впечатляет. Формально утилита требует установки, хотя может быть легко превращена в портейбл-версию. OpenStego привлекает тем, что поддерживает парольную защиту и тоже умеет внедрять стегометки (правда, эта функция пока что имеет статус «бета»).

Интерфейс OpenStego

После добавления к выбранному изображению небольшого текстового файла визуально отличия между пустым и заполненным контейнером практически отсутствуют.

Найди десять отличий

Однако размер файла увеличился на один мегабайт, а из-за конвертации в PNG с другой степенью сжатия это стал просто другой файл. При побайтном сравнении с оригиналом отличия будут во всех значениях сразу после заголовка.

OpenStego: hex-сравнение

Интересно, что программа никак не проверяет правильность вводимого пароля при извлечении стегосообщения из контейнера. Она честно пытается собрать извлекаемый файл в любом случае и всегда сообщает, что операция прошла успешно. В действительности же спрятанный файл будет извлечен только после ввода правильного пароля. В остальных случаях произойдет ошибка и файл не запишется. Такой подход слегка затрудняет использование классических методов перебора паролей, в которых следующая комбинация подставляется после неудачной проверки предыдущей. Однако маркер успешного извлечения все же есть. Достаточно указать в качестве каталога пустой и перебирать пароли до тех пор, пока в нем не появится файл. Было бы лучше записывать любой результат извлечения как файл — это бы повысило уровень защиты.

Внедрение стегометок в этой программе происходит не как в других. Сначала генерируется сигнатура, которая сохраняется в отдельный файл с расширением SIG. Какую-то осмысленную информацию в ней записать нельзя — это просто уникальный битовый набор, вроде приватного ключа.

Создаем «водяной знак»

После внедрения стегометки создается новый и визуально идентичный файл изображения, в котором она «растворяется». Процесс верификации сводится к проверке наличия указанной сигнатуры внутри файла. Если она сохранилась полностью, то совпадение будет стопроцентным. Если же файл подвергался модификации, то стегометка может быть частично утрачена. Метод задумывался как попытка внедрения стойких водяных знаков, однако в текущей реализации он практически бесполезен. Программа показывает нулевой процент соответствия уже после небольшой обрезки картинки и пересохранения в PNG с большим сжатием.

Водяные знаки испаряются после небольшой обработки

RARJPEG

Скрывать одни файлы внутри других можно и безо всяких стеганографических утилит. Конечно, это будет не аккуратное «растворение» по алгоритму LSB, а простое слияние, однако у этого известного в узких кругах метода есть и свои преимущества. Во-первых, он доступен без дополнительных инструментов. Во-вторых, позволяет легко передать любой файл, загрузив его как графический на какой-нибудь сайт (например, хостинг картинок или, чаще, имиджборд).

Смысл метода в том, что графические файлы (в частности, JPEG) начинают интерпретироваться сразу с заголовка, в то время как архивы считываются только с метки начала архива. Сама метка может располагаться внутри файла где угодно, так как, помимо обычных архивов, есть многотомные и самораспаковывающиеся.

В качестве эксперимента упакуем все программы из сегодняшнего обзора в архив ZIP и добавим этот архив к файлу Wallpaper.jpg, создав новую картинку: Wallpaper-x.jpg. Просто запустим консоль Windows и напишем:

type Wallpaper.jpg Steg.zip > wallpaper-x.jpg

Дописываем ZIP к JPG

На выходе получится объединенный файл wallpaper-x.jpg. Его можно просмотреть как картинку или же открыть любым архиватором, который поддерживает формат ZIP. Если изменить расширение файла на ZIP, то он откроется файловым менеджером как каталог. Можно даже обойтись без переименования, а сразу использовать архивный плагин через команду быстрой распаковки (например, {ALT}+{F9} в Total Commander). Все файлы из такой «картинки» будут извлечены без проблем.

Описанный трюк известен давно и работает также с некоторыми другими форматами файлов (как графических, так и архивов), однако наибольшую популярность получило сочетание RAR + JPEG.

Начало архива ZIP внутри картинки и имя первого архивного файла

Выводы

Итак, мы рассмотрели семь утилит, одинаковых по своему назначению. Если одни можно смело рекомендовать, то другие я привел, чтобы проиллюстрировать типичные ошибки.

Настоящие стеганографические утилиты не меняют размер файла-контейнера. Они «растворяют» скрываемое сообщение по алгоритму LSB или более продвинутому, стремясь сделать распределение измененных байтов неотличимым от наложения случайных шумов. Продвинутые утилиты умеют использовать шифрование, но добавить его можно и самому — например, используя VeraCrypt или тот же RAR.

Обнаружилось немало программ, которые вроде бы обещают защиту, но на деле имеют очень косвенное отношение к стеганографии. Они просто дописывают скрываемый файл в конец исходного, используют узнаваемые указатели и слабое шифрование.

Стеганографию эффективнее всего использовать не вместо криптографии, а вместе с ней. Такое сочетание позволяет скрыть как саму информацию, так и факт ее хранения или передачи.

https://t.me/anon_chan_by

OSINT по-русски. Выбираем мощные бесплатные сервисы для пробива и конкурентной разведки.

anon_channel — Sun, 20 Jun 2021 18:48:25 GMT

Телеграм канал.

OSINT (Open Source INTelligence) — это разведка по открытым источникам, то есть поиск информации о человеке или организации по базам данных, которые доступны всем. Этим занимаются как специальные организации и службы, так и компании (чтобы проверить сотрудников или узнать больше о конкурентах) и просто люди, когда хотят получше узнать, с кем они общаются в интернете и не окажется ли «серцеед888» маньяком‑убийцей.

Я Собрал несколько сервисов, которые помогут в этом. Упор был сделан на РФ, т.к. в разных странах разные форматы данных и это затрудняет поиск.

Перед тем как начнем, советую ознакомиться с 137 УК РФ.

ПОИСК ПО EMAIL

Emailrep.io находит, на каких сайтах зарегистрированы аккаунты, использующие определенную почту.

Дополнительно на основе проверки по спам‑базам, а также базам вредоносной активности сервис проверяет репутацию аккаунта: в частности, не попадался ли он в утечках.

ПОИСК ПО НИКНЕЙМУ

Когда поиск по email не дает особых результатов, стоит попробовать поискать по никнейму.

WhatsMyName — это не просто сервис, а целый комбайн, который ищет по 280 сервисам!

Здесь можно сортировать сервисы по категориям, а еще есть возможность экспортировать результат поиска (URL найденных профилей) в нескольких форматах.

Сервис Usersearch.org предоставляет поиск не только по популярным соцсетям, но и по тематическим форумам и сайтам знакомств.

Выдача удобна тем, что ты не только получаешь список сервисов со ссылкой на аккаунт, но и для каждого сервиса есть ссылка на страницу удаления аккаунта, на случай, если это вдруг твой аккаунт. Также сервис может дополнительно искать по телефону, email и пробивать по базе HIBP.

ПОИСК ПО НОМЕРУ ТЕЛЕФОНА

SpravkaRU.Net — весьма объемный телефонный справочник, который может искать также по ФИО.

Email2phonenumber собирает данные со страниц восстановления аккаунта во множестве сервисов и находит номер телефона.

Помимо этого, утилита может генерировать список номеров и перебирать сервисы на наличие номера телефона (где он указан в профиле).

Бот last4mailbot найдет последние четыре цифры номера телефона клиента Сбербанка.

Поиск производится исключительно по email. Проверка нескольких почт, заведомо привязанных к Сбербанку, показала, что бот действительно выдает верные данные.

Anon

Хакер - Фундаментальные основы хакерства. Ищем операнды при взломе программ

Содержание статьи

Фундаментальные основы хакерства

ИДЕНТИФИКАЦИЯ КОНСТАНТ И СМЕЩЕНИЙ

Определение типа непосредственного операнда

Сложные случаи адресации или математические операции с указателями

Порядок индексов и указателей

Использование LEA для сложения констант

«Визуальная» идентификация констант и указателей

ЗАКЛЮЧЕНИЕ

Linux за 30 минут. Руководство по выбору и использованию Linux для новичков

t.me/anon_chan_by

Важное предупреждение

КАКОЙ БЫВАЕТ LINUX

INFO

Not Unix

ЯДРО

ПАКЕТНЫЙ МЕНЕДЖЕР

ГРАФИЧЕСКАЯ СИСТЕМА

КОМАНДНЫЙ ИНТЕРПРЕТАТОР

INFO

ДОМАШНИЙ КАТАЛОГ И СКРЫТЫЕ ФАЙЛЫ

Необходимый минимум команд

ВВОД-ВЫВОД И ПАЙПЫ

Полезные шпаргалки

ФАЙЛОВЫЕ СИСТЕМЫ

СИСТЕМА КАТАЛОГОВ

ПОЛЬЗОВАТЕЛИ, ПРАВА НА ФАЙЛЫ

ССЫЛКИ

УСТАНОВКА СОФТА

INIT И SYSTEMD

INFO

ПРОЧИЕ ПРИЛОЖЕНИЯ

WWW

ИТОГИ

Внедрение кода в ехе-файл в конец секции без добавления API-функций.

Как стать хакером: гайд по основам для новичков

Чтобы стать хакером, вам нужно:

Изучить и использовать UNIX-систему, например, Ubuntu или MacOS

Для пользователей Windows

Изучить язык разметки HTML

Изучить несколько языков программирования

Изучить устройства сетей

Изучить криптографию

Kali Linux: некоторый полезный софт

Заключение

На страже ядра. Обнаруживаем руткиты с помощью нового плагина DRAKVUF

Содержание статьи

ТЕХНИКИ

Inline-перехваты

Перехват таблицы системных вызовов

Опи­сание струк­туры KSYSTEM_SERVICE_TABLE

Код получе­ния зна­чений win32k!W32pServiceTable и win32k!W32pServiceLimit

Перехваты IDT/GDT

MSR LSTAR

ПЕРЕХВАТЫ ФУНКЦИЙ DRIVER_OBJECT

ТЕХНИКА СОКРЫТИЯ ПРОЦЕССА ОТ TASK MANAGER

РЕГИСТРАЦИЯ СИСТЕМНЫХ ФУНКЦИЙ ОБРАТНОГО ВЫЗОВА

ЗАКЛЮЧЕНИЕ

Хакер - Не App Store единым. Устанавливаем сторонние приложения в iOS без джейла

t.me/anon_chan_by

ПОЧЕМУ НЕЛЬЗЯ ПРОСТО УСТАНОВИТЬ ПРИЛОЖЕНИЕ

ОФИЦИАЛЬНЫЙ ПУТЬ: АККАУНТ РАЗРАБОТЧИКА

ПОЛУОФИЦИАЛЬНЫЙ ПУТЬ: CYDIA IMPACTOR

ИДЕМ В СЕРУЮ ЗОНУ: ПОДПИСЬ ПАКЕТА ОБЫЧНЫМ APPLE ID

Nullximpactor

iOS App Signer

ALTDEPLOY И ALTSTORE

ПОДПИСЬ В РЕЖИМЕ ОНЛАЙН

АЛЬТЕРНАТИВНЫЕ МАГАЗИНЫ ПРИЛОЖЕНИЙ

TESTFLIGHT

ГДЕ ВЗЯТЬ ПАКЕТЫ ПРИЛОЖЕНИЙ?

ЗАКЛЮЧЕНИЕ

Хакер - Вкуриваем QR. Как сделать QR-код с сюрпризом

https://t.me/anon_chan_by

История вектора атаки

WWW

QRGen — каждому по коду

WARNING

Описание структуры KSYSTEM_SERVICE_TABLE

Код получения значений win32k!W32pServiceTable и win32k!W32pServiceLimit